Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Win32.HIV

Třída Virus
Platfoma Win32
Popis

Technické údaje

Jedná se o nebezpečný virus v reálném čase, který trpí pamětí Win32, infikuje soubory PE EXE (aplikace systému Windows) a archivy MSI, sám se "upgraduje" z Internetu a má schopnost šíření e-mailů. Virus je zašifrován a používá technologii "Entry Point Obscuring", aby se skryl v infikovaných souborech. Virus má délku přibližně 6 kilogramů.

Virus používá anti-ladění triky a zastaví stroj, pokud je v systému detekována softice nebo jiný ladicí program.

Virus také pokusí zakázat ochranu souborů systému Windows. Chcete-li to provést, infikuje systémové soubory, které jsou odpovědné za ochranu souborů: přepsá soubor DEFAILT.SFC s prázdnými daty (pod Win98) nebo SFCFILES.DLL (pod Win2000). Tento trik by měl fungovat pod Win98 a neměl by fungovat pod Win2000, kde systém buď blokuje přístup k SFCFILES.DLL, nebo jej okamžitě obnoví ze zálohy.

Infekce

Chcete-li infikovat * .exe soubory, virus je vyhledá v aktuálním adresáři a zapíše se do konce souboru. Chcete-li získat kontrolu, virus neupravuje adresu spouštění programu, ale místo toho vyhledává záhlaví / zápatí standardních podprogramů podprogramů a opravy zápatí s instrukcí JMP_Virus. V důsledku toho se virus nemůže aktivovat v okamžiku, kdy je spuštěn infikovaný soubor, ale spíše když je provedena infikovaná rutina (když se příslušná větev dostane pod kontrolou).

Virus pak zůstává v paměti jako součást infikovaného programu, zavede několik funkcí pro přístup k souborům a infikuje soubory EXE, ke kterým přistupuje infikovaný program. Virus je tedy aktivní v paměti systému Windows až do okamžiku ukončení infikované aplikace.

V některých případech je spuštěn na zařízení NTFS virus a v infikovaných souborech vytvoří další soubor NTFS (ADS) s názvem "HIV:" ("filename.ext: HIV") a zapíše zde text "copyright":

Tato buňka byla infikována virem HIV, generací:

0xNNNNNNNN

kde NNNNNNNN je "generační" číslo viru.

Archivy MSI

Virus také zachycuje přístup k archivům MSI, otevírá je, vyhledává soubory PE EXE a infikuje je přepisováním rutiny pro zadávání programů s kódem, který při spuštění zobrazuje následující zprávu:

[Win32.HiV] Benny / 29A
Tato buňka byla infikována virem HIV, generací: 0xNNNNNNNN

kde NNNNNNNN je "generační" číslo viru.

Infekce souborů HTML

Virus také hledá soubory * .HTML v aktuálním adresáři a nahrazuje je soubory XML přidáním přípony .XML:

Čistý soubor : File.html
Infikovaný soubor : File.html.xml

Virus pak skryje infikované soubory XML pomocí triku: nastaví klíč registru, který způsobí, že systém Windows nebude zobrazovat rozšíření pro soubory XML; změní ikonu souborů XML; a umístí zde ikonu standardních souborů HTML. Výsledkem je, že soubory infikovaných souborů HTML (které jsou vlastně soubory XML po infikování) jsou zobrazeny aplikací Explorer jako standardní soubory HTML v seznamu souborů. Takže infikovaný soubor File.html.xml se zobrazí jako soubor File.html s ikonou souboru HTML.

Program skriptů napsaný virem na infikované soubory HTML získá přístup do zóny Internet a otevře soubor tam:

http://coderz.net/benny/viruses/press.txt

Ve skutečnosti se nejedná o soubor TXT, ale o soubor XML, který je Internet Explorer zpracováván jako standardní webová stránka (i přesto, že soubor má příponu TXT). Program skriptu v souboru PRESS.TXT stáhne soubor MSXMLP.EXE ze stejného webu a zaregistruje jej do sekce Automatické spuštění registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c: MSXMLP.EXE

Soubor MSXMLP.EXE, který je zde nalezen, je standardní aplikace systému Windows s novou verzí v něm. Takže virus autor může "upgradovat" virus na infikovaných počítačích, nebo nainstalovat Trojan.

Emailové šíření

Virus otevře databázi WAB (adresář systému Windows), odtud získá e-mailové adresy a odešle zprávy, které obsahují následující informace:

Z : press@microsoft.com
Odeslaná : 2010/06/06 22:00
Předmět : prezentace XML
Zpráva :

Podívejte se na tuto prezentaci XML a zašlete nám svůj názor.
Pokud máte nějaké dotazy ohledně prezentace XML, napište nám.
Děkuji,
Tým pro vývoj XML, společnost Microsoft Corp.

Přiložený soubor : press.txt

Přiložený soubor PRESS.TXT je stejný program skriptu XML, který používá virus při infikování souborů HTML. Takže, když uživatel aktivuje PRESS.TXT, do počítače se stáhne kopie virů a zaregistruje se v registru systému.

Virus uloží soubor PRESS.TXT v kořenovém adresáři jednotky C: C: PRESS.TXT.

Při odesílání zpráv virus používá knihovnu MAPI, takže nezávisí na systému Mail nainstalovaném v počítači.

Známé verze virů obsahuje chybu v rutině pošty a nepodaří se odesílat zprávy.


Odkaz na originál