Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o nebezpečný virus v reálném čase, který trpí pamětí Win32, infikuje soubory PE EXE (aplikace systému Windows) a archivy MSI, sám se "upgraduje" z Internetu a má schopnost šíření e-mailů. Virus je zašifrován a používá technologii "Entry Point Obscuring", aby se skryl v infikovaných souborech. Virus má délku přibližně 6 kilogramů.
Virus používá anti-ladění triky a zastaví stroj, pokud je v systému detekována softice nebo jiný ladicí program.
Virus také pokusí zakázat ochranu souborů systému Windows. Chcete-li to provést, infikuje systémové soubory, které jsou odpovědné za ochranu souborů: přepsá soubor DEFAILT.SFC s prázdnými daty (pod Win98) nebo SFCFILES.DLL (pod Win2000). Tento trik by měl fungovat pod Win98 a neměl by fungovat pod Win2000, kde systém buď blokuje přístup k SFCFILES.DLL, nebo jej okamžitě obnoví ze zálohy.
Infekce
Chcete-li infikovat * .exe soubory, virus je vyhledá v aktuálním adresáři a zapíše se do konce souboru. Chcete-li získat kontrolu, virus neupravuje adresu spouštění programu, ale místo toho vyhledává záhlaví / zápatí standardních podprogramů podprogramů a opravy zápatí s instrukcí JMP_Virus. V důsledku toho se virus nemůže aktivovat v okamžiku, kdy je spuštěn infikovaný soubor, ale spíše když je provedena infikovaná rutina (když se příslušná větev dostane pod kontrolou).
Virus pak zůstává v paměti jako součást infikovaného programu, zavede několik funkcí pro přístup k souborům a infikuje soubory EXE, ke kterým přistupuje infikovaný program. Virus je tedy aktivní v paměti systému Windows až do okamžiku ukončení infikované aplikace.
V některých případech je spuštěn na zařízení NTFS virus a v infikovaných souborech vytvoří další soubor NTFS (ADS) s názvem "HIV:" ("filename.ext: HIV") a zapíše zde text "copyright":
Tato buňka byla infikována virem HIV, generací:
0xNNNNNNNN
kde NNNNNNNN je "generační" číslo viru.
Archivy MSI
Virus také zachycuje přístup k archivům MSI, otevírá je, vyhledává soubory PE EXE a infikuje je přepisováním rutiny pro zadávání programů s kódem, který při spuštění zobrazuje následující zprávu:
[Win32.HiV] Benny / 29A
Tato buňka byla infikována virem HIV, generací: 0xNNNNNNNN
kde NNNNNNNN je "generační" číslo viru.
Infekce souborů HTML
Virus také hledá soubory * .HTML v aktuálním adresáři a nahrazuje je soubory XML přidáním přípony .XML:
Čistý soubor : File.html
Infikovaný soubor : File.html.xml
Virus pak skryje infikované soubory XML pomocí triku: nastaví klíč registru, který způsobí, že systém Windows nebude zobrazovat rozšíření pro soubory XML; změní ikonu souborů XML; a umístí zde ikonu standardních souborů HTML. Výsledkem je, že soubory infikovaných souborů HTML (které jsou vlastně soubory XML po infikování) jsou zobrazeny aplikací Explorer jako standardní soubory HTML v seznamu souborů. Takže infikovaný soubor File.html.xml se zobrazí jako soubor File.html s ikonou souboru HTML.
Program skriptů napsaný virem na infikované soubory HTML získá přístup do zóny Internet a otevře soubor tam:
http://coderz.net/benny/viruses/press.txt
Ve skutečnosti se nejedná o soubor TXT, ale o soubor XML, který je Internet Explorer zpracováván jako standardní webová stránka (i přesto, že soubor má příponu TXT). Program skriptu v souboru PRESS.TXT stáhne soubor MSXMLP.EXE ze stejného webu a zaregistruje jej do sekce Automatické spuštění registru:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c: MSXMLP.EXE
Soubor MSXMLP.EXE, který je zde nalezen, je standardní aplikace systému Windows s novou verzí v něm. Takže virus autor může "upgradovat" virus na infikovaných počítačích, nebo nainstalovat Trojan.
Emailové šíření
Virus otevře databázi WAB (adresář systému Windows), odtud získá e-mailové adresy a odešle zprávy, které obsahují následující informace:
Z : press@microsoft.com
Odeslaná : 2010/06/06 22:00
Předmět : prezentace XML
Zpráva :Podívejte se na tuto prezentaci XML a zašlete nám svůj názor.Přiložený soubor : press.txt
Pokud máte nějaké dotazy ohledně prezentace XML, napište nám.
Děkuji,
Tým pro vývoj XML, společnost Microsoft Corp.
Přiložený soubor PRESS.TXT je stejný program skriptu XML, který používá virus při infikování souborů HTML. Takže, když uživatel aktivuje PRESS.TXT, do počítače se stáhne kopie virů a zaregistruje se v registru systému.
Virus uloží soubor PRESS.TXT v kořenovém adresáři jednotky C: C: PRESS.TXT.
Při odesílání zpráv virus používá knihovnu MAPI, takže nezávisí na systému Mail nainstalovaném v počítači.
Známé verze virů obsahuje chybu v rutině pošty a nepodaří se odesílat zprávy.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com