DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Multi.Navrhar

Kategorie Virus
Plattform Multi
Beschreibung

Technische Details

Dies ist ein mehrteiliger Virus, der sowohl MS Word-Dokumente als auch Windows95-VxD-Treiber infiziert. Der Virus verwendet mehrere Schritte in seiner Infektion Weg – beginnend von infizierten Dokument oder VxD macht es drei Schritte, um die Dateien des gleichen Formats wie seine ursprüngliche Host-Datei zu infizieren: Word-Dokument -> PE EXE Dropper -> VxD-Treiber -> Word-Dokument und bald.

Wenn eine infizierte Datei von Word geöffnet wird, legt der Virus seinen PE-Teil auf die Festplatten ab und führt ihn aus. Dieser Dropper sucht nach Windows95 VxD-Treibern und infiziert sie. Das nächste Mal, wenn Windows seine Treiber lädt, bleibt der Virus resident, hakt Systemaufrufe und infiziert geöffnete Dokumente.


+ ——— + + ——— + + ——— + + ——— +
| Infiziert | -> | PE EXE | -> | + ——— + -> | + ——— + ->
| Dokument | | Dropper | || VxD | || + ——— + ->
| | | | || Fahrer | ||| Dokumente | ->
| | | | || | ||| |
| | | | || | ||| |
+ ——— + + ——— + + | | + || |
+ ——— + + | |
+ ——— +

"Overlay" Art der Infektion

Sowohl in VxD-Dateien als auch in Word-Dokumenten verwendet der Virus eine recht clevere Methode, um Daten und Code zu speichern. In beiden Dateitypen legt der Virus in den eigentlichen Dokument / Treiber-Körper nur einen Virus Loader – ein kleines Programm, das den Haupt-Virus-Code lädt und ausführt. In infizierten Word-Dokumenten ist dieser Loader ein kurzes Makro, das in Word Basic geschrieben wurde (wie auch alle anderen Word-Makroviren), in VxD ist es ein kleines 32-Bit-Programm.

Der Hauptviruscode befindet sich außerhalb des eigentlichen Worddokuments und VxD – beim Infizieren des Virus wird dieser Hauptcode an das Ende der Datei angehängt und es werden keine notwendigen Korrekturen vorgenommen, um ihn mit dem Daten / Code der Hostdatei zu verknüpfen. Es sieht wie ein Overlay-Daten / Code aus – dieser Code ist in keiner Weise mit der Struktur der Host-Datei verknüpft, und es gibt keine Verweise auf dieses Overlay aus Code und Daten in der Hauptdatei (außer Virus Loader).


Infizierte Windows95 VxD: Infiziertes Word-Dokument:
+ ———— + + ———— +
| Original | | Original |
| VxD-Code | | Dokumente | |
+ ———— + | Daten |
| Virenladeprogramm | <- 32-Bit + ———— +
+ ———— + Programm | Virus loader | <- Makro-Programm
| Der Rest von | + ———— + <- Ende der Rechtsdokumentdaten
| VxD-Code | | Zusätzliche Daten | <- Virus Hauptcode / Daten
| und Daten | | |
| | + ———— + <- Ende der Datei
| |
+ ———— + <- Ende des legalen VxD-Codes
| Zusätzliche Daten | <- Virus Hauptcode / Daten
| |
+ ———— + <- Ende der Datei
Wenn Windows solche VxD lädt, beachtet es keine extra Daten / Code und lädt es nicht in den Speicher. Wenn Word ein infiziertes Dokument öffnet, werden auch diese zusätzlichen Daten nicht in den Speicher geladen. Außerdem werden diese Daten beim Schließen eines Dokuments abgeschnitten. Die einzige Möglichkeit für den Virus, auf ein solches Overlay zuzugreifen, besteht darin, das infizierte Dokument / VxD als eine Disk-Datei zu öffnen, nach dem Overlay zu suchen und es zu lesen, und der Virus macht das.

Beim Infizieren verschiedener Objekte erhöht das Virus aufgrund unterschiedlicher Strukturen von "Overlay" -Daten seine Länge um unterschiedliche Zahlen. Die Länge der Dokumente wird um 17245 Bytes erhöht, die VxD-Treiber haben 12288 Bytes an ihrem Ende nach der Infektion, die Länge des Virus-Droppers RUNME.EXE beträgt 16208 Bytes.

Öffnen eines infizierten Dokuments

Der am weitesten verbreitete Weg, heutzutage eine Infektion zu bekommen, ist nicht infizierte Programme zu empfangen, sondern infizierte Dokumente. Also, mit 100: 1 wird ein Benutzer ein infiziertes Dokument bekommen und öffnen, kein infiziertes VxD (tauscht jemand VxDs aus, außer Programmierern?).

In infizierten Dokumenten heißt der Virusmakrolader AutoOpen – das ist ein Auto-Makro und wird beim Öffnen des Dokuments automatisch von Word ausgeführt. Dieses Makro weist einen Speicherblock zu (HeapAlloc Word-Funktion), öffnet die Host-Datei (Dokument), sucht nach den Overlay-Daten (Haupt-Viruscode), liest sie und legt sie in der neu erstellten C: RUNME.EXE-Datei ab (von CreateFileA, SetFilePointer, ReadFile, WriteFile, CloseHandle-Funktionen).

Dann führt der Virus-Makro die C: RUNME.EXE-Datei (von Word "Shell" Anweisung) aus, und der C: RUNME.EXE-Virus-Dropper übernimmt Kontrolle, lokalisiert und infiziert Windows-Treiber.

Infizierte VxD-Treiber

Zuerst, wenn die RUNME.EXE ausgeführt wird, überprüft der Viruscode die Windows-Version und wird sofort beendet, wenn die Windows-Version 3.xx oder kleiner ist (ich wandle, ist diese Überprüfung wirklich notwendig – RUNME.EXE ist 32-Bit-PE) -program, so dass es nicht unter alten Windowses laufen kann).

Der Virus findet dann das Windows-Verzeichnis, springt zum SYSTEM-Unterverzeichnis, sucht nach den VxD-Dateien und infiziert sie, falls sie da sind:


EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,
MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,
SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,
VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD
Beim Infizieren von VxD-Dateien analysiert und modifiziert der Virus seine internen Strukturen, schreibt seinen Ladecode in die Mitte der Datei und fügt seinen Hauptcode als zusätzliche Daten an das Ende der Datei an.

Windows VxD-Treiber verfügen über ein internes LE EXE-Dateiformat (Linear Executable). Dieses Format ist ziemlich komplex zu verstehen – es ist viel komplexer als DOS EXE-Dateiformat, komplexer als Windows NewEXE-Dateiformat. Es ähnelt dem Format für portable ausführbare Dateien (PE), unterscheidet sich jedoch grundlegend.

Es würde viele Seiten benötigen, um alle Details zu beschreiben, die der Virus macht, wenn er VxDs infiziert. Kurz gesagt: Es liest LE-Eintragstabelle und Objekttabellen, sucht nach VxD-Code-Abschnitt und patcht es. LE-Dateien haben Abschnitt (Seiten) Struktur. Wenn Code / Datum den Abschnitt nicht abdeckt, wird der Abschnitt nur bis zum Limit mit null Bytes gefüllt. Der Virus verwendet diese Funktion und erhöht lediglich die Länge des tatsächlichen Codes im Abschnitt und hängt dort den Code seines Ladeprogramms an (214 Bytes), wenn im Abschnitt genügend freier Speicherplatz vorhanden ist.

Um eine doppelte Infektion zu verhindern, verwendet der Virus nur den Datums- und Zeitstempel der Datei – er legt ein neues Datum und eine neue Zeit für Dateien fest, während er sie infiziert, und überprüft sie vor der Infektion. Dieses Datum / diese Uhrzeit ist der 4. Januar 1997, 4:28 Uhr. Wenn jemand diesen Stempel für infizierte VxD-Dateien ändert, infiziert der Virus sie zweimal und öfter.

Der Virus sucht nicht nach anderen VxD-Dateien als die oben aufgeführten, auch wenn RUNME.EXE Dropper aktiv ist, noch zu einem späteren Zeitpunkt. Der Virus löscht RUNME.EXE auch nicht, nachdem er VxDs infiziert hat, so dass ein Benutzer diese Datei manuell ausführen kann, wenn er diesen Namen mag.

Dokumente infizieren

Wenn Windows95 infiziertes VxD lädt, ordnet der Virusloader (ähnlich wie der Loader in infizierten Dokumenten) einen Speicherblock zu, sucht am Ende der Hostdatei sein "Overlay" zu lesen, liest es als Daten und führt es dann als Programm aus (vivat Windows95 Kernelschutz!). Der Virus-Installator übernimmt die Kontrolle, hakt die IFS-API und fängt OpenFile-Aufrufe ab.

Wenn eine Datei geöffnet wird, vergleicht der Virus die Dateinamenerweiterung mit ".DOC", liest den Dateikopf und prüft ihn auf OLE2-Stempel, analysiert dann interne OLE2-Formate, erstellt am Ende des Dokuments ein neues Makro mit dem Namen AutoOpen, schreibt seinen Makrolader dorthin und hängt als "overlay" seinen Hauptcode an. Der Virus konvertiert auch die Microsoft-Dokumente in das Template-Format – das gleiche wie bei normalen Word-Makro-Viren.

Der Virus infiziert keine Dokumente mit einer Dateilänge, die nicht auf Sektoren ausgerichtet ist (nachdem infizierte Dokumente nicht ausgerichtet sind) – diese Tatsache trennt den Virus infizierte und nicht infizierte Dokumente. Der Virus infiziert auch keine Dokumente mit einer Länge über 800 KB – die Virusinfektionsroutine kann Formate großer Dokumente einfach nicht analysieren (in solchen Dokumenten erscheinen zusätzliche Felder). Der Virus prüft interne Identifikatoren in Dokumenten und infiziert sie nur, wenn sie das Format PanEuro Word 6/7 haben.

Das MS Word sollte den Virus-Overlay-Code am Ende des Dokuments schneiden (aber AutoOpen-Makro lassen), während infizierte Datei gespeichert wird, und in meinen Experimenten mit Word 7.0 tat es. Trotzdem wurden die Dokumente mit DOC-Dateinamenerweiterungen sofort durch den Virus neu infiziert. Im Falle einer Nicht-DOC-Erweiterung bleiben die Dokumente semi-infiziert – sie haben das Virus-Makro AutoOpen, aber sie haben keine Virus- "Overlay" -Daten. Daher kann sich der Virus nicht selbst verbreiten, wenn solche Dokumente geöffnet werden.

Der Virusinfektionsalgorithmus ist nicht fehlerfrei. Wenn eine Vorlage bereits Makros enthält, verdirbt der Virus die interne Struktur der Dokumente, und diese Makros bleiben unsichtbar. Zweitens ist es unmöglich, das Virus AutoOpen-Makro aus infizierten Dokumenten zu entfernen, indem man die Word-Umgebung (Tools / Macro / Delete oder Organizer) verwendet – das Word schlägt das nicht und stürzt mit der Standard-Windows-Fehlermeldung ab:


Dieses Programm hat eine ungültige Operation ausgeführt
und wird heruntergefahren werden.

Letzte Anmerkungen

Wegen seiner Art der VxD-Treiberinfektion kann der Virus das WindowsNT-System nicht infizieren, aber beim Experimentieren mit dem Virus unter Windows95 wurden keine Probleme entdeckt (außer Probleme mit Word-Templates, die oben beschrieben wurden). Der Virus manifestiert sich in keiner Weise und verursacht keine Systemfehlermeldungen, wenn er unter Windows95 ausgeführt wird.

Es scheint mir, dass die VxD-Infektionsroutine einen Fehler hat (der Virus analysiert die LE-Objekttabelle nicht korrekt), und der Virus wird "nicht standardmäßige" VxD-Treiber beschädigen, aber alle VxDs aus der Virenliste sind "viruskompatibel" und Windows 95 mit infizierten VxDs (immer zweimal infiziert) verursacht keine Probleme. Vielleicht wegen dieses möglichen Fehlers hat der Virenautor nicht den Aufruf der VxD-Infektion bei deren Eröffnung mit einbezogen, sondern nur Word-Dokumente.

Der Virus hat mehrere Textzeichenfolgen, einige von ihnen scheinen die Spuren der Debug-Modus-Version des Virus zu sein:


kann DDB fixupp nicht finden
kann diese Datei nicht infizieren
nicht gültige Vxd-Datei
erfolgreich infiziert
infizierende Datei
Andere Zeichenfolgen enthalten die Namen von Windows-Funktionen, die beim Infizieren von VxD-Treibern verwendet werden:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime
GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA SchließenHandle
Der Rest der sichtbaren Textzeichenfolgen sind Kommentare von Virenautoren in Englisch und in einem beschädigten Hacker-artigen Stil:

HZDS-Virus (der weltweit erste direkte VxD-Infektor und der 2. Word 6/7-Infektor)
(c) Navrhar (DESIGNeR in Englisch), Slowakei, 21. Oktober 1997
Diz Virus haz wurde in Banska Bystrica Stadt, Slowakei geschrieben.
W l ¢ 0m 0 h HZD $ v¡ sg ¡gZ!
GZ: Vyv0j,, Sy & Pount; m & hässlich & pount; s, MG & Pount ;, gh m 0k.
$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0
l0 gs 0 y0 – �0 ly)
M y ∈ ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D ¢ 0)
$ p0 s0 y * -Z1 (hs VX-æ¡ v)
Die Übersetzung für den letzten Textblock sieht folgendermaßen aus:

Willkommen im HZDS-Viren-Begrüßungsbereich!
Greetz: Vyvojar, Ender, Nasty Lamer und Hässlicher Luser, MGL,
Albtraumjoker,
Special Greets: Autor von Anarchy.6093 (Ich wollte der Erste sein, aber die Ehre
gehört dir – leider)
Viele Ficks gehen zu: HZDS, V1ado M. (Diktator)
Gesponsert von * -Zine (das beste VX-Zine aller Zeiten)


Link zum Original