Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Win16.RedTeam

Třída Virus
Platfoma Win16
Popis

Technické údaje

Tento virus infikuje soubory Windows EXE (NewExe) a odesílá se na internet pomocí e-mailu Eudora – je to první známý virus, který infikuje systém Windows a šíří se přes internet. Chcete-li infikovat soubory, virus zůstává v paměti systému Windows, pak infikuje NE-soubory, které jsou spuštěny. Chcete-li infikovat e-mail Eudora, virus analyzuje interní formát databáze a přidává "infikované" zprávy. Virus se může šířit na internet pouze v případě, že je v počítači nainstalován e-mailový systém Eudora, ale příjemci infikovaných zpráv mohou používat jakýkoli standardní e-mailový systém, a nejen Eudora.

Samozřejmě, že virus není schopen se automaticky spouštět z infikované zprávy. Nemůže infikovat systém, pokud je infikovaná zpráva otevřená a přečtená. K šíření viru musí být infikovaná příloha EXE extrahována a spuštěna. Přesně tak (pro extrahování a spuštění připojeného souboru) text zprávy přesvědčí uživatele.

Virus nebyl nalezen ve volné přírodě, ale jeho uvolnění se může objevit jako skutečné nebezpečí pro globální počítačovou síť, protože šíření je využívá nejpopulárnější OS (Windows) a jeden z nejpopulárnějších e-mailových systémů (Eudora ).

Délka kódu viru a dat je 4766 bajtů. Virus byl pojmenován podle textových řetězců přítomných v těle viru (jsou zašifrovány v infikovaných souborech):


<< – RED TEAM – >> (C) Správce duše.
Vyrobeno v Austrálii – 06.97.
Takže, Herr Kurtzhals – Je F / Win schopen sledovat The Red Team?

Inferuje EXE

Při infikování souborů NewEXE virus nevytváří nový segment – vypočítá adresu segmentu kódu, přesune zbytek souboru dolů a zapisuje se do jeskyně. Virus zvyšuje velikost segmentu kódu a v důsledku toho zůstává součástí kódu právního programu. Virus také opravuje potřebná pole v záhlaví NE a tabulkách přemístění. Virus pak modifikuje počáteční adresu vstupního bodu nebo adresy patchů systémových rutin v případě KRNL286 / 386.EXE.

Pokud je infikovaný soubor spuštěn v prostředí, které není infikováno, virus převezme kontrolu a hledá modul Win16 Kernel (KRNL286.EXE nebo KRNL386.EXE). Když je tento soubor umístěn, virus se otevírá a infikuje. Virus nezmění adresu vstupního bodu, místo toho změní adresy rutin WINEXEC nebo INITTASK. V případě Windows 3.xx virus nastaví novou adresu rutiny WINEXEC, v případě Windows95 / NT virus dělá totéž s rutinou INITTASK (protože Windows95 / NT nevolá WINEXEC).

Chcete-li oddělit moduly KRNL? 86.EXE (Windows 3.xx nebo Windows95 / NT), virus používá název, pokud je exportována funkce CALLPROC32W, představuje pouze 32bitové Windows95 / NT.

Virus pak vrátí kontrolu do hostitelského programu a neprovádí žádné další akce. Jako výsledek poprvé popravený virus nezanechává žádný kód v systémové paměti – infikuje pouze modul Windows Kernel16.

Přechod na paměť

Když je systém Windows načten infikovaným jádrem, virus zůstane v systémové paměti jako součást jádra – není třeba udělat zvláštní akci, protože kód viru je umístěn ve stejném kódu jako původní program jádra. Virus také neprovádí žádnou akci, která by mohla hákovit události systému, protože již byly zavěšeny, zatímco infekce – adresa WINEXEC nebo INITTASK již odkazuje na obsluhu viru.

V systému Windows 3.xx virus zavěsí WINEXEC, takže infikuje soubory, které jsou spuštěny. Virus to dělá docela chytrým způsobem – okamžitě předá kontrolu původnímu obslužnému programu WINEXEC a pak infikuje soubor na pozadí, tj. Neexistuje žádné zpoždění při spuštění aplikace v infikovaném prostředí. To je pro virus velmi důležité, protože obvykle je instalován systém Windows 3.xx na starých pomalých počítačích a zpoždění při spuštění může varovat uživatele.

V systémech Windows95 / NT virus zavěsí INITTASK, takže zachycuje kontrolu, když se programy registrují v systému. Virus pak pomocí funkce GetExePtr získává modulové rukojeti pro všechny NE-aplikace, které jsou aktivní a infikují je.

Infikování e-mailu

Při infikování souboru s pravděpodobností 1/8 (v závislosti na klíči, který je použit pro šifrování textových řetězců) virus modifikuje jeho kód tak, aby tento infikovaný soubor aktivoval rutinu, která zachycuje infikované e-mailové zprávy do schránky Eudora. Pokud je takový soubor spuštěn v adresáři, kde jsou umístěny databáze Eudora, virus otevře datové soubory Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. První soubor ("Databáze názvů Nicků") je používán virem pro získání jmen příjemců, kterým bude virus zasílat infikovanou zprávu. Infikovaná zpráva je umístěna do OUT.MBX (databáze Outbox) a potřebné odkazy jsou umístěny do souboru OUT.TOC.

Samotná zpráva má předmět "Red Team", obsahuje text a připojený soubor EXE. Text vypadá následovně:


————————————————– ——————–
Hiya!
Jen jsem si myslela, že vás budu varovat před destruktivním novým virem elektronické pošty.
Zde je několik informací:
> Virus "Red Team" je složitý nový počítačový virus, který se šíří přes
> operační systém Microsoft Windows a Internet E-Mail. Ačkoli
> není to první virus, který se šíří prostřednictvím e-mailu (to bylo "dobré časy"),
> červený týmový virus je bez rozdílu v ničivých schopnostech.
> Navíc je virus extrémně častý – už to bylo
> hlášeny ve velké části západní Evropy, USA, Ruska, Austrálie a USA
> Japonsko. Stručně řečeno, všude.
>
> My v QUEST jsme strávili několik týdnů s analýzou tohoto viru a jsme hrdí
> oznamujeme, že máme konečně lék! Program, nazvaný "K-RTEAM"
> (Kill Red Team), lze spustit v libovolném prostředí Microsoft Windows a
> bude spolehlivě detekovat (a případně odstranit) červený týmový virus z
> systémové vyrovnávací paměti.
>
> –
> Julia Blumin
> QUALCOMM Enterprise Software Technologies
> World Wide Web: http://www.qualcomm.com
Důvod, proč jsem si myslel, že bych tě měl varovat, je, že jsme nedávno utekli
s touto šelem. Naštěstí se nám podařilo získat kopii vynikajících
Program "K-RTEAM" před tím, než začalo zničení. Jen pro případ
měli byste trpět stejnou neštěstí, do které jsem tento program zahrnul
ty taky.
Sbohem!
PS Ujistěte se, že varujete všechny své přátele touto novou hrozbou!
————————————————– ——————–
Tento text v těle viru je komprimován, takže virus jej dekomprimuje před uložením do schránky Eudora. Přiložený soubor EXE má NE hlavičku a je pojmenován jako K-RTEAM.EXE ("Kill Red Team"), má délku 6351 bajtů. Jedná se o infikovaný program "do-nothing" (virus ho vytvoří na jednotce C: C: K-RTEAM.EXE), která šíří virus pouze v počítači. V záhlaví a konci tohoto souboru jsou textové řetězce:

K-RTEAM – Red Team Anti-Virus
K-RTEAM
Červený týmový virus byl nalezen!
Odstranit virus?
Virus Removed!
Virus nelze odstranit!
Virus neposílá dvě zprávy ze stejného infikovaného počítače. Chcete-li, že virus vytvoří soubor RTBASE.TOC při odesílání infikovaných zpráv. Příště bude virus vyhledávat tento soubor a ukončí rutinu infekce elektronickou poštou, pokud se tento soubor zobrazí v adresáři.

V laboratoři

Virus se replikuje pod Windows 3.xx a během experimentů v laboratoři neměl žádné vedlejší účinky – všechny soubory byly nakaženy správně, programy nebyly poškozeny a systém Windows nezobrazoval žádné varovné / chybové zprávy.

Virus také uložil kapátko do schránky Eudora bez problémů. Nakažené zprávy byly poté odeslány přes internet a správně přijaty.

V systému Windows95 / NT má virus problém – nemůže infikovat KRNL386.EXE a jako výsledek nemůže nainstalovat paměť rezidentní. Chyba je poměrně hloupá – virus si vyhrazuje slovo (DW) pro proměnnou "NE Header Offset", ale používá ji jako DoubleWord (DD). Druhé slovo tohoto DoubleWord je vlajka verze Windows: 0, pokud Windows3.xx, FFFFh v případě Windows95 / NT. Takže pod Windows95 / NT se virus z této proměnné špatně hodí.

Navzdory tomu byly soubory infikované pod Windows 3.xx bez problémů v operačním systému Windows 95 / NT a mohou infikovat databázi Eudora stejně jako Windows 3.xx. Kromě toho může být tato hloupá chyba snadno opravena a autorská verze viru by mohla být vydána verze kompatibilní se systémem Windows95.


Odkaz na originál