Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída
Virus
Platfoma
Win32

Hlavní třída: VirWare

Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.

Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.

Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).

Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.

Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.

Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.

Viry lze rozdělit podle metody používané k infikování počítače:

souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.

Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.

Třída: Virus

Viry se replikují na prostředcích místního počítače.

Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:

když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Tento text byl napsán za pomoci Adrian Marinescu, softwaru GeCAD.

Jedná se o velmi nebezpečný paměť rezidentní polymorfní virus Win32 o délce 20K. Infikuje soubory KERNEL32.DLL a PE EXE: zapisuje svůj kód na konec souboru a upravuje potřebná pole v záhlaví PE, aby získala kontrolu při spuštění infikovaného souboru. Virus také přidává "droppery" do archivů různých typů (ACE, RAR, ZIP, CAB, ARJ) a do některých typů samorozbalovacích balíčků (soubory SFX ACE a RAR).

Virus používá polymorfní motor, zatímco infikuje pouze soubory PEE a archivy, a ponechá virusový obrázek nešifrovaný v souboru KERNEL32.DLL.

Virus používá anti-ladění triky, zakáže anti-virus on-access skenery (Avast, AVP, AVG a Amon), odstraní antivirové datové soubory (AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS , CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT) opravuje soubor LGUARD.VPS (antivirovou databázi?) A zabraňuje infekci mnoha antivirových programů: TB, F- AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

Jednou z nejdůležitějších virů je skutečnost, že při načítání knihovny zašifruje / dešifruje knihovny Windows "on-the-fly" (soubory DLL) - při načítání knihovny, virus ji dešifruje, po vyložení virus šifruje tělo souboru. Za účelem šifrování souborů DLL používá virus silné kryptografické algoritmy (poskytuje Crypt API obsažené v systému Windows). Výsledkem je, že jakmile infikovaný systém bude pracovat pouze v případě, že je v paměti přítomen kód viru a provede toto šifrování / dešifrování. V případě, že je systém dezinfikován, knihovny DLL zůstávají šifrované a systém je nemůže načíst. Prvním virem, který tuto technologii využívá, byl vícestupňový vírus Onehalf, který byl ve druhé polovině 90. let "dobře znám".

Virus není kompatibilní s několika verzemi Win32, jako jsou standardní verze Win95 a Win98. Za těchto podmínek se virus neinstaluje do systému (neinfikuje soubor KERNEL32.DLL) a / nebo neinfikuje soubory PE EXE.

Instalace do systému

Když je infikovaný soubor poprvé spuštěn na čistém systému, získá se kontrola polymorfní smyčky dekryptoru, obnoví původní souborový soubor v čisté podobě a převede tam kontrolu. Rutina instalace získá kontrolu a po provedení několika anti-ladicích a anti-antivirových procedur instaluje kopii virů do systému.

Při instalaci virus infikuje soubor KERNEL32.DLL tak, že při dalším spuštění Windows načte kód viru jako součást knihovny KERNEL32. Během infekce virus opravuje exportní tabulky KERNEL32, takže při dalším načítání virus zachycuje a filtruje několik funkcí pro přístup k souborům, které jsou exportovány z KERNEL32.DLL (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary - v obou formulářích ANSI a UNICODE).

Chcete-li infikovat knihovnu KERNEL32.DLL (tato knihovna je načtena do paměti při spuštění viru, takže je chráněna systémem Windows pro psaní), virus zkopíruje soubor KERNEL32.DLL do složky Windows, infikuje tuto kopii a poté vynutí Windows přepněte starý soubor s infikovaným na další boot. Výsledkem je, že při dalším restartování bude systém Windows načten infikovaným systémem KERNEL32.DLL - viry filtrují události přístupu k souborům a spustí běžné procedury PE EXE a archivní infekce.

Po infikování KERNEL32.DLL virus vymaže svůj kód z paměti a vrátí kontrolu do hostitelského programu.

Rozšiřování virů

Když je systém Windows načten infikovaným systémem KERNEL32.DLL, virus zůstává v paměti jako součást KERNEL32.DLL a zavěsí několik exportovaných funkcí KERNEL32. Při prvním volání na tyto funkce virus aktivuje rutinní infekci, která vyhledává soubory oběti (PE EXE) na pozadí a infikuje je. Virus vyhledává soubory na všech jednotkách od C do Z.

Aby proces skenování byl méně nápadný, bude virus nejdříve počkat tři sekundy před každým skenováním jednotky.

Během infikování souboru virus rozšiřuje poslední část souboru a vyhrazuje si prostor pro jeho kód, pak zapíše šifrovaný kód spolu s polymorfním dešifrátorem a nastaví vstupní bod programu na dešifrovací rutinu.

Archivovat infekci

Virus je schopen přidávat kapky do archivů několika typů: ACE a RAR (včetně SFX samorozbalovacích souborů), stejně jako ZIP, CAB, ARJ. Klapky viry v archivech získají náhodně vybrané jméno z variant:

INSTALACE, NASTAVENÍ, RUN, SOUND, CONFIG, HELP, GRATIS, CRACK, UPDATE, README

začátek nebo / a končící '!' char. Rozšíření názvu souboru je .EXE.

Chcete-li přidat kapátko do archivu, virus vytvoří kapátko jako soubor disku a provede externí program potřebný k zpracování příslušného typu archivu. Pomocí této metody je virus schopen připojit kapku komprimovanou náhodně vybranou metodou, v závislosti na archivátorském programu.

Šifrování knihoven

Virus vytvoří kryptografické klíče v instalační části viru (pomocí Crypt API obsaženého v systému Windows). Pokud jsou klíče úspěšně vytvořeny, virus je schopen šifrovat kód souborů DLL, které používají aplikace (v případě potřeby je načte systém Windows). Chcete-li to provést, používá virus LoadLibrary a FreeLibrary háčky, zachycuje knihovny načítání a šifrování / dešifrování je za běhu.

Jakékoli DLL s názvem začínajícím jedním z následujících vzorců jsou vyňaty: SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32 a SFCFILES. Také DLL, které jsou uvedeny v následujících seznamech nejsou šifrovány:

 SystemCurrentControlSetControlSessionManagerKnownDLLs  SystemCurrentControlSetControlSessionManagerKnown16DLLs 

Nejdůležitějším aspektem je, že šifrovací klíč a šifrovací algoritmus jsou jedinečné pro každý infikovaný systém. WinCrypt podporuje vlastní šifrovací algoritmy, které znemožňují dezinfekci z jiných systémů než Windows. Šifrování knihoven DLL bude spotřebovávat mnoho zdrojů času / CPU - virus bude číst pokaždé, když potřebujete klíče od registru.

Aby bylo možné používat Crypt API obsažené ve Windows, virus potřebuje vytvořit nový klíč s názvem kontejneru nastaveným na "Prizzy / 29A". Za prvé, virus kontroluje jeho existenci a pokud klíč není přítomen, vyhrazuje se vyhrazené API, aby se vytvořil nový. Virus pak bude muset uložit vygenerovaný klíč - pro tento virus bude používat systémový registr. V tomto okamžiku obsahuje virus omezení - předpokládá se, že po volání API CryptAquireContext bude vytvořen klíč SOFTWAREMicrosoftCryptographyUserKeysPrizzy / 29A. Virus nastaví hodnotu "Kiss Of Death" na nově vytvořený klíč.

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Premium
Zjistěte více
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Confirm changes?
Your message has been sent successfully.