Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: Win9x
No platform descriptionPopis
Technické údaje
Jedná se o specifický parazitární virus Windows95 / 98, který infikuje soubory Windows PE (Portable Executable), které mají délku asi 1 kilobytu. Také známý jako Černobyl. Tento virus byl v červnu 1998 nalezen na Taiwanu "v divočině", který byl propuštěn jeho autorem virem, který tehdy studoval na místní univerzitě. Virus (náhodně?) Byl zveřejněn na místní internetové konferenci, která uvolnila virus z Tchaj-wanu. Během týdne byl virus nalezen v Rakousku, Austrálii, Izraeli, ve Velké Británii a také byl hlášen z několika dalších zemí (Švýcarsko, Švédsko, USA, Rusko, Chile atd.).
Za zhruba měsíc byly infikované soubory náhodně uvedeny na několik webových serverů v USA (herní distribuční stránky), které způsobily celosvětovou virovou epidemii. Zhruba rok po výskytu virem 26. března 1999 způsobila "časová bomba" virového kódu počítačovou katastrofu, když byla asi polovina milionu počítačů poškozena kvůli virové infekci: všichni ztratili data na pevném disku , a mnoho z nich také zničilo základní desku systému BIOS (poškozené data pevného disku). Tento incident byl významný, protože v tuto chvíli nebyly známy takové globální a hrozné počítačové incidenty.
Vzhledem k tomu, že den vraždy "bomby" spadá do dne černobylské katastrofy, která šokovala svět 26. dubna 1986, získal virus, známý jako "CIH", své druhé jméno - "Černobyl".
Navzdory tomu virusový autor nespojil svou "bombu" s Černobylem (možná dokonce ani o Černobylu neslyšel). Zdá se, že den bomby byl vybrán z jiného důvodu. První virusová verze (která naštěstí neopustila Tchaj-wan) byla vydána 26. dubna 1998, takže virus 26. dubna 1999 oslavil své "narozeniny".
Jak virus funguje
Virus se sám nainstaluje do paměti systému Windows, vyvolá volání přístupu k souborům a infikuje otevřené soubory EXE. V závislosti na datu systému (viz níže) virus spustí svoji spouštěcí rutinu. Virus obsahuje chyby a v některých případech zastavuje počítač při spuštění infikované aplikace.
Spouštěcí rutina viru funguje s porty Flash BIOS a pokouší se přepsat paměť Flash pomocí "odpadků". To je možné pouze v případě, že základní deska a čipová sada umožňují zápis do paměti Flash. Obvykle zapisování do paměti Flash může být deaktivováno přepínačem DIP, avšak záleží na návrhu desky. Bohužel existují moderní základní desky, které nemohou být chráněny přepínačem DIP - také někteří z nich nevěnují pozornost na polohu spínače a tato ochrana nemá žádný vliv vůbec. Některé další designérské desky poskytují písemnou ochranu, kterou lze vyřadit nebo vyřadit ze softwaru.
Rutina spouštění pak přepíše data na všech nainstalovaných pevných discích. Virus využívá přímé volání pro zapisování disků, čímž dosáhne tohoto cíle a obchází standardní ochranu proti viru BIOS při přepisování sektorů MBR a zavádění.
Existují tři "původní" verze virů, které jsou velmi blízce příbuzné a liší se jen v několika částech jejich kódu. Mají různé délky, texty uvnitř kódu viru a datum spuštění:
Délka textu Datum spuštění nalezeno v divočině1003 CIH 1.2 TTIT 26. dubna ANO1010 CIH 1.3 TTIT 26. dubna NO1019 CIH 1.4 TATUNG 26. dne kteréhokoliv měsíce ANO - mnoho zpráv
Technické údaje
Při napadení souboru virus vyhledává "jeskyně" v těle souboru. Tyto jeskyně jsou výsledkem struktury souboru PE: všechny oddíly souborů jsou zarovnány hodnotou, která je definována v záhlaví souboru PE a mezi koncem předchozí a další části jsou nepoužité bloky dat souborů. Virus hledá tyto jeskyně a zapisuje do nich kód. Virus pak zvyšuje velikost sekcí potřebnými hodnotami. Výsledkem je, že délka souboru se během infekce nezvýší.
Pokud je jeskyně dostatečně velká, virus ji ukládá do jedné části. V opačném případě rozdělí kód na několik částí a uloží je na konec několika částí. Jako výsledek, virový kód může být nalezen jako sada kusů, ne jako jeden blok v infikovaných souborech.
Virus také hledá jeskyni v záhlaví PE. Pokud existuje nepoužívaný blok o délce nejméně 184 bajtů, virus zapíše jeho spouštěcí rutinu. Virus pak opraví vstupní adresu v hlavičce PE s hodnotou, která ukazuje na spouštěcí rutinu umístěnou v záhlaví. Jedná se o stejný trik, který byl použit v viru "Win95.Murkry" : adresa vstupních bodů programu není do nějaké části souboru, ale do záhlaví souboru - z dat načíst soubor. Navzdory tomu infikované programy běží bez problémů - systém Windows nevěnuje pozornost takovým "podivným" souborům, načte hlavičku souboru do paměti, pak sekce souborů a pak předá kontrolu nad rutinním spuštěním viru v záhlaví PE.
Po spuštění rutiny spouštění virů přiděluje blok paměti pomocí volání PageAllocate VMM, zkopíruje se tam, vyhledá další bloky virového kódu a také je zkopíruje do přiděleného bloku paměti. Virus pak zavede systém IFS API a vrátí kontrolu do hostitelského programu.
Nejzajímavější věc v této části virového kódu je, že virus používá poměrně složité triky, které skočí z Ring3 do Ring0: když virus přeskočí do nově přidělené paměti, pak je jeho kód proveden jako rutina Ring0 a virus je schopen zavěste volání souborového systému (není možné v aplikaci Ring3, kde jsou spuštěny všechny uživatelské aplikace).
Spouštěč viru IFS API zachycuje pouze jednu funkci - otevření souboru. Když jsou otevřeny soubory PE .EXE, virus je infikuje za předpokladu, že jsou jeskyně dostatečné velikosti. Po infekci virus kontroluje datum souboru a vyvolá rutinu spouštění (viz výše).
Během běhu spouštěcí rutiny virus využívá přímý přístup k portům Flash BIOS a volání přímého přístupu k diskům VxD (IOS_SendCommand).
Jiné známé verze virů
Původní autor viru vydal nejen divoký kód viru v zasažených souborech EXE, ale i kód virového zdroje (assembler). Tyto zdrojové kódy byly patched, recompiled, a proto byly nalezeny nové verze virů. Většina těchto verzí je chybná a není schopna replikovat, ale ostatní mohou dělat. Všichni jsou velmi blízko původním virům, ale existuje několik rozdílů. Hlavní rozdíl spočívá v tom, že datum "bomby" se změnilo a nové varianty viru buď vymazávají data a Flash BIOS v jiných dnech, nebo je tato rutina nikdy volána.
Tam jsou také "originální" verze viru patched tak, že oni mají jiné "bomby" dny. Důvodem je to skutečně humorné: virus kontroluje datum spouštění tím, že porovná aktuální číslo dne a měsíce se dvěma konstantami (dva bajty). Při opravě těchto konstant je možné vybrat jakýkoli den, kdy virus poruší počítače.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com