Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Virus
Viren replizieren auf den Ressourcen der lokalen Maschine.Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:
Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.
Mehr Informationen
Plattform: Multi
No platform descriptionBeschreibung
Technische Details
Dies ist ein mehrteiliger Virus, der sowohl MS Word-Dokumente als auch Windows95-VxD-Treiber infiziert. Der Virus verwendet mehrere Schritte in seiner Infektion Weg - beginnend von infizierten Dokument oder VxD macht es drei Schritte, um die Dateien des gleichen Formats wie seine ursprüngliche Host-Datei zu infizieren: Word-Dokument -> PE EXE Dropper -> VxD-Treiber -> Word-Dokument und bald.
Wenn eine infizierte Datei von Word geöffnet wird, legt der Virus seinen PE-Teil auf die Festplatten ab und führt ihn aus. Dieser Dropper sucht nach Windows95 VxD-Treibern und infiziert sie. Das nächste Mal, wenn Windows seine Treiber lädt, bleibt der Virus resident, hakt Systemaufrufe und infiziert geöffnete Dokumente.
+ --------- + + --------- + + --------- + + --------- +| Infiziert | -> | PE EXE | -> | + --------- + -> | + --------- + ->| Dokument | | Dropper | || VxD | || + --------- + ->| | | | || Fahrer | ||| Dokumente | ->| | | | || | ||| || | | | || | ||| |+ --------- + + --------- + + | | + || |+ --------- + + | |+ --------- +
"Overlay" Art der Infektion
Sowohl in VxD-Dateien als auch in Word-Dokumenten verwendet der Virus eine recht clevere Methode, um Daten und Code zu speichern. In beiden Dateitypen legt der Virus in den eigentlichen Dokument / Treiber-Körper nur einen Virus Loader - ein kleines Programm, das den Haupt-Virus-Code lädt und ausführt. In infizierten Word-Dokumenten ist dieser Loader ein kurzes Makro, das in Word Basic geschrieben wurde (wie auch alle anderen Word-Makroviren), in VxD ist es ein kleines 32-Bit-Programm.Der Hauptviruscode befindet sich außerhalb des eigentlichen Worddokuments und VxD - beim Infizieren des Virus wird dieser Hauptcode an das Ende der Datei angehängt und es werden keine notwendigen Korrekturen vorgenommen, um ihn mit dem Daten / Code der Hostdatei zu verknüpfen. Es sieht wie ein Overlay-Daten / Code aus - dieser Code ist in keiner Weise mit der Struktur der Host-Datei verknüpft, und es gibt keine Verweise auf dieses Overlay aus Code und Daten in der Hauptdatei (außer Virus Loader).
Infizierte Windows95 VxD: Infiziertes Word-Dokument:+ ------------ + + ------------ +| Original | | Original || VxD-Code | | Dokumente | |+ ------------ + | Daten || Virenladeprogramm | <- 32-Bit + ------------ ++ ------------ + Programm | Virus loader | <- Makro-Programm| Der Rest von | + ------------ + <- Ende der Rechtsdokumentdaten| VxD-Code | | Zusätzliche Daten | <- Virus Hauptcode / Daten| und Daten | | || | + ------------ + <- Ende der Datei| |+ ------------ + <- Ende des legalen VxD-Codes| Zusätzliche Daten | <- Virus Hauptcode / Daten| |+ ------------ + <- Ende der DateiWenn Windows solche VxD lädt, beachtet es keine extra Daten / Code und lädt es nicht in den Speicher. Wenn Word ein infiziertes Dokument öffnet, werden auch diese zusätzlichen Daten nicht in den Speicher geladen. Außerdem werden diese Daten beim Schließen eines Dokuments abgeschnitten. Die einzige Möglichkeit für den Virus, auf ein solches Overlay zuzugreifen, besteht darin, das infizierte Dokument / VxD als eine Disk-Datei zu öffnen, nach dem Overlay zu suchen und es zu lesen, und der Virus macht das.
Beim Infizieren verschiedener Objekte erhöht das Virus aufgrund unterschiedlicher Strukturen von "Overlay" -Daten seine Länge um unterschiedliche Zahlen. Die Länge der Dokumente wird um 17245 Bytes erhöht, die VxD-Treiber haben 12288 Bytes an ihrem Ende nach der Infektion, die Länge des Virus-Droppers RUNME.EXE beträgt 16208 Bytes.
Öffnen eines infizierten Dokuments
Der am weitesten verbreitete Weg, heutzutage eine Infektion zu bekommen, ist nicht infizierte Programme zu empfangen, sondern infizierte Dokumente. Also, mit 100: 1 wird ein Benutzer ein infiziertes Dokument bekommen und öffnen, kein infiziertes VxD (tauscht jemand VxDs aus, außer Programmierern?).In infizierten Dokumenten heißt der Virusmakrolader AutoOpen - das ist ein Auto-Makro und wird beim Öffnen des Dokuments automatisch von Word ausgeführt. Dieses Makro weist einen Speicherblock zu (HeapAlloc Word-Funktion), öffnet die Host-Datei (Dokument), sucht nach den Overlay-Daten (Haupt-Viruscode), liest sie und legt sie in der neu erstellten C: RUNME.EXE-Datei ab (von CreateFileA, SetFilePointer, ReadFile, WriteFile, CloseHandle-Funktionen).
Dann führt der Virus-Makro die C: RUNME.EXE-Datei (von Word "Shell" Anweisung) aus, und der C: RUNME.EXE-Virus-Dropper übernimmt Kontrolle, lokalisiert und infiziert Windows-Treiber.
Infizierte VxD-Treiber
Zuerst, wenn die RUNME.EXE ausgeführt wird, überprüft der Viruscode die Windows-Version und wird sofort beendet, wenn die Windows-Version 3.xx oder kleiner ist (ich wandle, ist diese Überprüfung wirklich notwendig - RUNME.EXE ist 32-Bit-PE) -program, so dass es nicht unter alten Windowses laufen kann).Der Virus findet dann das Windows-Verzeichnis, springt zum SYSTEM-Unterverzeichnis, sucht nach den VxD-Dateien und infiziert sie, falls sie da sind:
EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXDBeim Infizieren von VxD-Dateien analysiert und modifiziert der Virus seine internen Strukturen, schreibt seinen Ladecode in die Mitte der Datei und fügt seinen Hauptcode als zusätzliche Daten an das Ende der Datei an.
Windows VxD-Treiber verfügen über ein internes LE EXE-Dateiformat (Linear Executable). Dieses Format ist ziemlich komplex zu verstehen - es ist viel komplexer als DOS EXE-Dateiformat, komplexer als Windows NewEXE-Dateiformat. Es ähnelt dem Format für portable ausführbare Dateien (PE), unterscheidet sich jedoch grundlegend.
Es würde viele Seiten benötigen, um alle Details zu beschreiben, die der Virus macht, wenn er VxDs infiziert. Kurz gesagt: Es liest LE-Eintragstabelle und Objekttabellen, sucht nach VxD-Code-Abschnitt und patcht es. LE-Dateien haben Abschnitt (Seiten) Struktur. Wenn Code / Datum den Abschnitt nicht abdeckt, wird der Abschnitt nur bis zum Limit mit null Bytes gefüllt. Der Virus verwendet diese Funktion und erhöht lediglich die Länge des tatsächlichen Codes im Abschnitt und hängt dort den Code seines Ladeprogramms an (214 Bytes), wenn im Abschnitt genügend freier Speicherplatz vorhanden ist.
Um eine doppelte Infektion zu verhindern, verwendet der Virus nur den Datums- und Zeitstempel der Datei - er legt ein neues Datum und eine neue Zeit für Dateien fest, während er sie infiziert, und überprüft sie vor der Infektion. Dieses Datum / diese Uhrzeit ist der 4. Januar 1997, 4:28 Uhr. Wenn jemand diesen Stempel für infizierte VxD-Dateien ändert, infiziert der Virus sie zweimal und öfter.
Der Virus sucht nicht nach anderen VxD-Dateien als die oben aufgeführten, auch wenn RUNME.EXE Dropper aktiv ist, noch zu einem späteren Zeitpunkt. Der Virus löscht RUNME.EXE auch nicht, nachdem er VxDs infiziert hat, so dass ein Benutzer diese Datei manuell ausführen kann, wenn er diesen Namen mag.
Dokumente infizieren
Wenn Windows95 infiziertes VxD lädt, ordnet der Virusloader (ähnlich wie der Loader in infizierten Dokumenten) einen Speicherblock zu, sucht am Ende der Hostdatei sein "Overlay" zu lesen, liest es als Daten und führt es dann als Programm aus (vivat Windows95 Kernelschutz!). Der Virus-Installator übernimmt die Kontrolle, hakt die IFS-API und fängt OpenFile-Aufrufe ab.Wenn eine Datei geöffnet wird, vergleicht der Virus die Dateinamenerweiterung mit ".DOC", liest den Dateikopf und prüft ihn auf OLE2-Stempel, analysiert dann interne OLE2-Formate, erstellt am Ende des Dokuments ein neues Makro mit dem Namen AutoOpen, schreibt seinen Makrolader dorthin und hängt als "overlay" seinen Hauptcode an. Der Virus konvertiert auch die Microsoft-Dokumente in das Template-Format - das gleiche wie bei normalen Word-Makro-Viren.
Der Virus infiziert keine Dokumente mit einer Dateilänge, die nicht auf Sektoren ausgerichtet ist (nachdem infizierte Dokumente nicht ausgerichtet sind) - diese Tatsache trennt den Virus infizierte und nicht infizierte Dokumente. Der Virus infiziert auch keine Dokumente mit einer Länge über 800 KB - die Virusinfektionsroutine kann Formate großer Dokumente einfach nicht analysieren (in solchen Dokumenten erscheinen zusätzliche Felder). Der Virus prüft interne Identifikatoren in Dokumenten und infiziert sie nur, wenn sie das Format PanEuro Word 6/7 haben.
Das MS Word sollte den Virus-Overlay-Code am Ende des Dokuments schneiden (aber AutoOpen-Makro lassen), während infizierte Datei gespeichert wird, und in meinen Experimenten mit Word 7.0 tat es. Trotzdem wurden die Dokumente mit DOC-Dateinamenerweiterungen sofort durch den Virus neu infiziert. Im Falle einer Nicht-DOC-Erweiterung bleiben die Dokumente semi-infiziert - sie haben das Virus-Makro AutoOpen, aber sie haben keine Virus- "Overlay" -Daten. Daher kann sich der Virus nicht selbst verbreiten, wenn solche Dokumente geöffnet werden.
Der Virusinfektionsalgorithmus ist nicht fehlerfrei. Wenn eine Vorlage bereits Makros enthält, verdirbt der Virus die interne Struktur der Dokumente, und diese Makros bleiben unsichtbar. Zweitens ist es unmöglich, das Virus AutoOpen-Makro aus infizierten Dokumenten zu entfernen, indem man die Word-Umgebung (Tools / Macro / Delete oder Organizer) verwendet - das Word schlägt das nicht und stürzt mit der Standard-Windows-Fehlermeldung ab:
Dieses Programm hat eine ungültige Operation ausgeführtund wird heruntergefahren werden.
Letzte Anmerkungen
Wegen seiner Art der VxD-Treiberinfektion kann der Virus das WindowsNT-System nicht infizieren, aber beim Experimentieren mit dem Virus unter Windows95 wurden keine Probleme entdeckt (außer Probleme mit Word-Templates, die oben beschrieben wurden). Der Virus manifestiert sich in keiner Weise und verursacht keine Systemfehlermeldungen, wenn er unter Windows95 ausgeführt wird.Es scheint mir, dass die VxD-Infektionsroutine einen Fehler hat (der Virus analysiert die LE-Objekttabelle nicht korrekt), und der Virus wird "nicht standardmäßige" VxD-Treiber beschädigen, aber alle VxDs aus der Virenliste sind "viruskompatibel" und Windows 95 mit infizierten VxDs (immer zweimal infiziert) verursacht keine Probleme. Vielleicht wegen dieses möglichen Fehlers hat der Virenautor nicht den Aufruf der VxD-Infektion bei deren Eröffnung mit einbezogen, sondern nur Word-Dokumente.
Der Virus hat mehrere Textzeichenfolgen, einige von ihnen scheinen die Spuren der Debug-Modus-Version des Virus zu sein:
kann DDB fixupp nicht findenkann diese Datei nicht infizierennicht gültige Vxd-Dateierfolgreich infiziertinfizierende DateiAndere Zeichenfolgen enthalten die Namen von Windows-Funktionen, die beim Infizieren von VxD-Treibern verwendet werden:
KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTimeGetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFileSetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA SchließenHandleDer Rest der sichtbaren Textzeichenfolgen sind Kommentare von Virenautoren in Englisch und in einem beschädigten Hacker-artigen Stil:
HZDS-Virus (der weltweit erste direkte VxD-Infektor und der 2. Word 6/7-Infektor)(c) Navrhar (DESIGNeR in Englisch), Slowakei, 21. Oktober 1997Diz Virus haz wurde in Banska Bystrica Stadt, Slowakei geschrieben.W l ¢ 0m 0 h HZD $ v¡ sg ¡gZ!GZ: Vyv0j,, Sy & Pount; m & hässlich & pount; s, MG & Pount ;, gh m 0k.$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0l0 gs 0 y0 - �0 ly)M y ∈ ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D ¢ 0)$ p0 s0 y * -Z1 (hs VX-æ¡ v)Die Übersetzung für den letzten Textblock sieht folgendermaßen aus:
Willkommen im HZDS-Viren-Begrüßungsbereich!Greetz: Vyvojar, Ender, Nasty Lamer und Hässlicher Luser, MGL,Albtraumjoker,Special Greets: Autor von Anarchy.6093 (Ich wollte der Erste sein, aber die Ehregehört dir - leider)Viele Ficks gehen zu: HZDS, V1ado M. (Diktator)Gesponsert von * -Zine (das beste VX-Zine aller Zeiten)
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com