Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Tento virus se šíří pod Win32 (Win95 / 98 a WinNT) a infikuje soubory PE EXE (Portable Executable). Virus má poměrně velkou velikost pro program napsaný v Assembleru - asi 15 kB. Jedná se o polymorfní virus.
Nejzajímavější vlastností tohoto viru je jeho schopnost posílat infikované soubory EXE na Internet pomocí standardních e-mailových protokolů (viz také další viry, které posílají infikované zprávy e-mailem: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).
V závislosti na náhodném čítači virus volá svůj druhý přístup k internetu. Tentokrát virus nerozšíří své kopie, ale jen hledá databázi DialUp a pošle na virus 'autor.
Kód viru obsahuje "autorská práva" autora:
- Parvo BioCoded od GriYo / 29A - Technická podpora Win32 Jacky Qwerty / 29A- Díky jejich myšlenkám a strategii díky společnosti Darkman / 29A a b0z0 / Ikx- Parvo je výzkumný speciment, nerozdělovat- c1999 29A Labs ... Vytváříme život -
Mnoho virových rutin (infekce, polymorfní) má stejné vlastnosti, jaké má virus "Win95.Marburg" . Virus se zapisuje na konec poslední části souboru; nezmění adresu vstupu PE, ale opraví vstupní kód původního programu instrukcí JMP_Virus nebo blokem nevyžádaného kódu, který na konci přenese ovládací prvek na kód viru; atd
Když virus převezme kontrolu, polymorfní dešifrovací smyčka a další rutina dešifrování lite obnoví kód viru a předá řídícímu programu hlavnímu rutinnímu viru.
Virus chrání kód pomocí metody CRC. Vypočítá CRC svého kódu a ukončí, pokud CRC není správné. Zdá se, že tato funkce je nezbytná pro virus, protože odesílá infikované soubory přes Internet, takže kontrola CRC zabraňuje provádění poškozených kopií.
Virus pak skenuje jádro systému Windows a vyhledává přístup k souborům, vyhledávání a další funkce API, které virus používá. Při vyhledávání funkcí API virus nepoužívá jejich jména, ale kontrolní součty. Chcete-li najít potřebný řetězec v jádře systému Windows, virový počítač pouze vypočte CRC jednotlivě a srovnává výsledky s tabulkou předem vypočtených hodnot, které jsou uloženy v kódu viru.
Chcete-li infikovat soubory na disku, hledá virus v aktuálních adresářích systému Windows a Windows. Virus také ovlivňuje soubory v adresářích, které obsahují nainstalovaný internetový prohlížeč a čtečku e-mailů. Virus získává tyto názvy adresářů z registru systému.
Virus neinfikuje všechny nalezené soubory, ale pouze soubory se specifickými názvy: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE a další. Chcete-li porovnat názvy souborů, virus také používá metodu kontrolního součtu jako při hledání funkcí rozhraní API.
Chcete-li vrátit kontrolu hostitelskému programu, virus vytvoří jeho kopii s náhodným vybraným názvem, dezinfikuje a provede jej. Virus pak čeká na ukončení hostitelského souboru, takže kód viru zůstává v paměti až do okamžiku ukončení hostitelského programu. Ačkoli virusový kód může zůstat v paměti delší dobu, virus není paměťová rezidentní. Neuzavírá žádné systémové události a nezakrývá otevírání / spouštění souborů, aby je napadlo.
Chcete-li odeslat infikované soubory na Internet, virus se připojuje k Internetu pomocí standardních funkcí systému Windows, dostane náhodně vybranou e-mailovou adresu, zašle zprávu o podvodnici a přiloží zprávu na infikovanou dropper EXE (viz text níže uvedených zpráv). Chcete-li získat e-mailovou adresu oběti, přichází virus do několika diskusních skupin, čte náhodně vybranou zprávu a hledá FROM řetězec tam. Když je nalezen tento text ID, použije následujíci adresa k odeslání infikované zprávy.
Název infikovaného souboru je vybrán ze tří možných variant: MSEFIXI.EXE, LSERIAL.EXE nebo HOTEENS.EXE. Zprávy (včetně záhlaví) jsou také vybrány ze tří variant:
Zpráva 1 ------------------------------------------------ -------------
mail: support@microsoft.com z: support@microsoft.com rcpt to: náhodně vybraná adresa na: náhodně vybraná adresa Předmět: Současné riziko zabezpečení pomocí aplikace Microsoft Internet Explorer a aplikace Outlook Express
Nový a nebezpečný virus narazil na internet.
POPIS:
Když e-mailový klient obdrží škodlivou poštu nebo zpravodajskou zprávu, která obsahuje přílohu s velmi dlouhým názvem souboru, může způsobit, že e-mail automaticky spustí libovolný kód na pracovní stanici klienta, čímž infikuje počítač.
Společnost Microsoft si tento problém již od samého počátku uvědomuje a představuje tu patch pro dva z našich produktů, které využívá.
Aplikace Outlook 98 v systémech Windows 95, Windows 98 a Microsoft Windows NT 4.0 v aplikaci Outlook Express 4.0, 4.01 (včetně 4.01 s aktualizací Service Pack 1) v systémech Windows 95, Windows 98 a Windows NT 4.0 Netscape Mail Clients
ŘEŠENÍ:
Zákazníci používající tyto produkty pro systémy Windows 95, Windows 98 nebo Windows NT 4.0 by měli spuštěnou opravu spouštět nebo stáhnout aktualizovanou opravu z:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Prosím, opravte počítač (y) co nejdříve a pomozte nám v boji proti této hrozbě na internetu.
Děkujeme za váš čas.
Podpora společnosti Microsoft Zpráva 2 ------------------------------------------------ ------------- mail z: Ahoj Potřebujete sériové číslo pro váš neregistrovaný program? Cítíte, že jste to všude hledali? Dokonce i v nejnovější verzi Phrch Crews Oscar? Pokud můžete odpovědět na některé z výše uvedených otázek a stále hledáte sériové číslo, může to být program, na který jste čekali. Sériová čísla jsme shromažďovali již řadu let a nyní jsme hrdí na to, že jsme vydali první verzi naší sériové sbírky, která obsahuje více než 15 000 sériových čísel. Připojeno k této zprávě je první verze sbírky sériových čísel. Vaše, sběratelé sériových čísel Zpráva 3 ------------------------------------------------ ------------- mail z: Vážení potenciální zákazníci, Právě jsme otevřeli nové erotické místo s více než 10.000 .JPG a více než 1.000 .MPG / .VIV / .AVI / .MOV / etc. Nabízíme Vám příležitost k životu, rozdáváme měsíční přístup, aniž bychom byli obviněni, na naše nové stránky výměnou za váš názor. Jediné, co musíte udělat, je provést připojený inzerát, který vygeneruje vaše osobní ID uživatele, nemusíte ani poskytovat informace jako vaše osobní číslo kreditní karty atd. A pokud se vám naše stránky líbí, řekněte to prosím všem vašim přátelům o nás. http://www.hoteens.com/ HoTeens.com
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Zobrazit více