Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Virus
Viren replizieren auf den Ressourcen der lokalen Maschine.Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:
Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.
Mehr Informationen
Plattform: DOS
No platform descriptionBeschreibung
Technische Details
Die "Vacsina" - (nicht "VACCINA") und "Yankee" -Familie umfasst mehr als 40 nicht-resident benigne parasitäre Viren. Jeder von ihnen trägt in seinem Körper ein Etikett, das aus drei Bytes besteht: F4h, 7Ah, NNh. Das dritte Byte, NNh, wird als eine Nummer des Virus in der Familie betrachtet (Nummer der Virusversion) und wird im Folgenden in den Namen der Viren ("Vacsina.NN" und "Yankee.NN") erfüllt sein. Nach der Aktivierung schreiben die Viren dieser Familie die Bytes 7Fh, 39h und NNh in den Speicher unter den Adressen 0000: 00C5, 0000: 00C6, 0000: 00C7. Viren der Familie unterscheiden sich dadurch, dass sie Dateien wiederherstellen, die von früheren Versionen der Viren dieser Familie infiziert wurden, und sie neu infizieren. Die Viren "Vacsina.NN" enthalten das Wort "VACSINA" in ihren Körpern.
Die Viren infizieren COM- und EXE-Dateien, die ausgeführt werden (Viren der Versionen bis 26h) oder in den Speicher geladen werden (Viren der Versionen 26h und höher). Die Viren infizieren COM-Dateien standardmäßig: Die Viren von Versionen bis zum 9. überprüfen das erste Byte in einer COM-Datei, die infiziert ist. Wenn dieses Byte ungleich E9h (JMP) ist, wird die Datei nicht infiziert. Die Viren höherer Versionen infizieren .COM-Dateien unabhängig von ihrem ersten Byte. Abgesehen davon verlängern die "VACSINA" -Viren die Länge der infizierten Datei bis zu einem Absatz. In den Versionen 2Ah und höher werden nach der Infektion 4 zusätzliche Bytes an die Datei angehängt.
Die Viren früherer Versionen (bis 23h) infizieren EXE-Dateien in besonderer Weise - die Dateien werden in das COM-Dateiformat transformiert. Zu diesem Zweck wird an die Datei ein kleines Fragment des Viruscodes (132 Bytes) angehängt, das die Adressen gemäß der Adresstabelle einstellt, nachdem die Datei zur Ausführung in den Speicher geladen wurde; Die ersten drei Bytes der Datei (JMP zum Fragment) werden ebenfalls geändert. Die 132 Bytes, die an die Datei angehängt werden, verbreiten den Virus nicht. Ihre Funktion besteht lediglich darin, die Programmadressen bei ihrer Ausführung anzupassen. Die so bearbeitete Datei wird vom Betriebssystem ausgeführt und von vielen Viren als COM-Datei infiziert. Als solches wird eine EXE-Datei ausgeführt, die Steuerung wird an das Adressenverschiebungsfragment übertragen, das die Adresstabelle in dem Dateikopf prüft und das geladene Programm korrigiert. Dann wird die Steuerung an die im Dateikopf notierte Startadresse übertragen.
Die Viren haken den Unterbrechungsvektor 21h. Einige Mitglieder der "Yankee" -Familie haken INT 1, 3, 9 und 1Ch.
Die Viren machen Geräuscheffekte: Wenn eine Datei mit einem "VACSINA" -Virus infiziert wird, wird ein Tonsignal (BELL) erzeugt; Die "Yankee" -Viren spielen, abhängig von einigen Vorbedingungen (wenn Sie ALT-Ctrl-Del gleichzeitig oder um 17:00 Uhr drücken), die "Yankee Doodle Dandy" -Melodie. Unter bestimmten Bedingungen entschlüsselt der Virus "Vacsina.06" und zeigt die Zeichenfolge "Az sum vasta lelja" an.
Es gibt mehrere "Pikanterien" in diesen Viren: Versionen 18h und höher bestimmen den Anfangswert des Interrupt-Vektors 21h (Adresse des Interrupt-Handlers in DOS) und verursachen bei der Einbindung in Dateien einen Interrupt auf diesen Wert. Auf diese Weise umgehen die Viren speicherresidente antivirale Monitore. Um die Adresse des Interrupt-Handlers zu bestimmen, wird der folgende Algorithmus verwendet:
- setze den 01h-Interrupt (Eingang bei der Verfolgung; dieser Interrupt wird im Debugging-Modus nach der Ausführung jedes Befehls durch den Prozessor aufgerufen) auf das Unterprogramm, das den wahren Wert des Interrupt-Vektors bestimmt;
- den Verfolgungsmodus einschalten;
- einen "harmlosen" Interrupt der Funktion 21h nennen (vom Standpunkt der speicherresidenten Anti-Viren).
00000 � ... � + ---------------- � �Betrieb � + ------------------> System � � + ---------------- � � �COMMAND.COM � � INT 21h + ---------------- � + ------------------- �Benutzer � ------- Programme, nachdem geändert+ ------------------> �Programm � � Unterbrechungsvektor 21h � + ---------------- � � � � ... � � � INT 21h + ---------------- � � + ------------------- �Benutzer � --- ++ ------------------> �Programm � � + ---------------- � � � ... � � + ---------------- � � �Virus � � INT 21h � ------------- � + ------------------- �Kommando ruft � � Unterbrechung 21h � ^ � � ------------- � � + ------------> �Programm für � � �Bestimmung von� + ---------------- �vektor � + ---------------- � FFFFF � ... �Versionen 21h und höher haken Debugger-Aktionen, und unter der Bedingung, dass der Körper des Virus debuggt wird, stoppen Sie den Debugging-Prozess. Beim Versuch, eine infizierte Datei unter den Debugger zu schreiben, "heilt" sich die Datei selbst.
Version 21h und höher codieren sich selbst mit linearem Blockcode und überprüfen die Bytes in ihrem Körper. Die Viren überprüfen sich regelmäßig auf das Vorhandensein von Änderungen und korrigieren sie wenn möglich.
Die Versionen 2Ch und höher deaktivieren den speicherresidenten Teil des "PingPong" -Virus. Die Versionen 2Eh und höher ergreifen einige Gegenmaßnahmen gegen die "Cascade" -Viren.
Modifikationen von "VACSINA" und "Yankee"
Die "VACSINA" - und "Yankee" -Viren sind eher "beliebt": Abgesehen von einigen Dutzend "Original" -Viren haben ihre Mutationen, die teilweise vom Original ziemlich fachmännisch kopiert wurden, begonnen. So wurde in Irkutsk (Russland) das Virus ("Yankee.1905") gefunden, das das Recht, "Yankee.53" genannt zu werden, angefochten hat. Aber trotz seiner Nummer (53h), verwendet es nur eine "Pikante" - Spuren INT 21h."Yankee.1049,1150,1202" - sind harmlose residente Dateiviren. Sie infizieren COM- und EXE-Dateien, wenn sie ausgeführt werden (INT 21h, "Yankee.1049" - ax = 4B00h, "Yankee.1202,1150" - ah = 4Bh). Die Viren verändern die ersten 32 Bytes einer Datei und heften sich an ihr Ende und stimmen in vielerlei Hinsicht mit den "Yankee" -Viren überein. Der 21h-Vektor wird verwendet.
"Yankee.3045" enthält die Textzeichenfolgen: "LOGIN.EXE SUPERVISOR. HESLO.".
"Yankee.Flip.2167": abhängig vom Systemdatum, hakt es INT 8, 9 und 10h und "kippt" den Bildschirm.
Yankee.2189
"Yankee" -Familie. Dieser Virus ist verschlüsselt, manchmal rollt er die Symbole '/', '', '-', '|'.Yankee.Estonia.1716
"Yankee" -Familie. Es infiziert COM- und EXE-Dateien mit Ausnahme von COMMAND.COM, die ausgeführt werden. Es hängt 4 Steuerbytes an COM-Dateien an. Am Montag um 14:00 Uhr entschlüsselt er und zeigt in der Mitte des Bildschirms die folgende Meldung an: "Independent Estonia Presents", spielt dann eine Melodie ab und startet den Computer neu.Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com