Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Virus
Viren replizieren auf den Ressourcen der lokalen Maschine.Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:
Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.
Mehr Informationen
Plattform: Win16
No platform descriptionBeschreibung
Technische Details
Dieser Virus infiziert Windows EXE-Dateien (NewExe) und sendet sich per Eudora-E-Mail an das Internet - es ist der erste bekannte Virus, der Windows infiziert und über das Internet verbreitet. Um Dateien zu infizieren, bleibt der Virus im Windows-Speicher und infiziert NE-Dateien, die ausgeführt werden. Um Eudora-E-Mails zu infizieren, analysiert der Virus das interne Format der Mail-Datenbank und fügt "infizierte" Nachrichten hinzu. Der Virus kann nur dann auf das Internet übertragen werden, wenn das Eudora-E-Mail-System auf dem Computer installiert ist, aber Empfänger infizierter Nachrichten können ein beliebiges Standard-E-Mail-System verwenden, nicht nur Eudora.
Natürlich kann der Virus nicht automatisch von einer infizierten Nachricht ausgeführt werden. Es ist nicht in der Lage, das System zu infizieren, wenn eine infizierte Nachricht geöffnet und gelesen wird. Um den Virus zu verbreiten, muss der infizierte EXE-Anhang extrahiert und ausgeführt werden. Um genau das zu tun (um die angehängte Datei zu extrahieren und auszuführen), überzeugt der Text der Nachricht den Benutzer.
Der Virus wurde nicht in freier Wildbahn gefunden, aber wenn er veröffentlicht wird, kann er als eine echte Gefahr für das globale Computernetzwerk erscheinen, da er sich selbst verbreitet und das populärste Betriebssystem (Windows) und eines der beliebtesten E-Mail-Systeme (Eudora ).
Die Länge des Viruscodes und der Daten beträgt 4766 Bytes. Der Virus wurde nach Textzeichenfolgen im Virenkörper benannt (sie sind in infizierten Dateien verschlüsselt):
<< - RED TEAM - >> (C) Der Seelenmanager.Hergestellt in Australien - 06.97.Also, Herr Kurtzhals - Kann F / Win dem Roten Team folgen?
EXE infizieren
Beim Infizieren von NewEXE-Dateien erstellt der Virus dort kein neues Segment - er berechnet die Adresse des Code-Segments, verschiebt den Rest der Datei und schreibt sich selbst in diese Höhle. Der Virus erhöht die Größe des Codesegments und bleibt daher als Teil des Programmcodes bestehen. Der Virus behebt auch notwendige Felder in NE-Kopf- und Verschiebungstabellen. Der Virus ändert dann die Anfangsadresse des Einstiegspunkts oder patcht Adressen von Systemroutinen im Falle von KRNL286 / 386.EXE.Wenn eine infizierte Datei in einer nicht infizierten Umgebung ausgeführt wird, übernimmt der Virus die Kontrolle und sucht nach dem Win16 Kernel-Modul (KRNL286.EXE oder KRNL386.EXE). Wenn diese Datei gefunden wird, wird der Virus geöffnet und infiziert. Der Virus ändert die Einstiegspunktadresse nicht, er ändert stattdessen Adressen von WINEXEC- oder INITTASK-Routinen. Im Falle von Windows 3.xx setzt der Virus die neue Adresse der WINEXEC-Routine, im Fall von Windows95 / NT führt der Virus dasselbe mit der INITTASK-Routine aus (weil Windows95 / NT WINEXEC nicht aufruft).
Zur Trennung von KRNL 86.EXE-Modulen (Windows 3.xx oder Windows95 / NT) verwendet der Virus den Namen, wenn er die CALLPROC32W-Funktion exportiert, er stellt nur in 32-Bit Windows95 / NT dar.
Der Virus gibt dann die Kontrolle an das Host-Programm zurück und führt keine anderen Aktionen aus. Bei der ersten Ausführung hinterlässt der Virus keinen Code im Systemspeicher - er infiziert nur das Kernel16-Modul von Windows.
Speicher resident gehen
Wenn Windows mit infiziertem Kernel geladen wird, bleibt der Virus als Teil des Kernels im Systemspeicher - dazu ist keine spezielle Aktion erforderlich, da der Code des Virus im selben Codesegment wie die Routinen des ursprünglichen Kernels liegt. Der Virus führt auch keine Aktion aus, um Systemereignisse zu haken, weil sie bereits süchtig waren, während die Infektion - die Adresse von WINEXEC oder INITTASK bereits auf den Virus-Handler zeigt.Unter Windows 3.xx hakt der Virus WINEXEC, also infiziert er Dateien, die ausgeführt werden. Der Virus macht das auf ziemlich clevere Art und Weise - er übergibt sofort die Kontrolle an den ursprünglichen WINEXEC-Handler und infiziert dann eine Datei im Hintergrund, dh es gibt keine Verzögerung, wenn die Anwendung in einer infizierten Umgebung ausgeführt wird. Das ist ziemlich wichtig für den Virus, weil normalerweise Windows 3.xx auf einem alten langsamen PC installiert ist und Verzögerungen bei der Ausführung einen Benutzer warnen können.
Unter Windows95 / NT hakt der Virus INITTASK, so dass er die Kontrolle abfängt, wenn sich Programme im System registrieren. Der Virus bekommt dann mit Hilfe der GetExePtr-Funktion Modulgriffe für alle NE-Anwendungen, die aktiv sind und sie infiziert.
Infizierte E-Mail
Beim Infizieren einer Datei mit der Wahrscheinlichkeit 1/8 (abhängig vom Schlüssel, der zum Verschlüsseln von Textzeichenfolgen verwendet wird) ändert der Virus seinen Code, so dass die infizierte Datei eine infizierte E-Mail-Nachricht in den Eudora-Postausgang fallen lässt. Wenn eine solche Datei in einem Verzeichnis ausgeführt wird, in dem Eudora-Datenbanken abgelegt sind, öffnet der Virus Eudora-Datendateien: NNDBASE.TOC, OUT.TOC, OUT.MBX. Die erste Datei ("Nick names database") wird vom Virus verwendet, um Namen von Empfängern zu erhalten, an die der Virus eine infizierte Nachricht sendet. Die infizierte Nachricht wird in OUT.MBX (Outbox-Datenbank) platziert und die erforderlichen Referenzen werden in die OUT.TOC-Datei gestellt.Die Nachricht selbst hat ein Thema "Rotes Team", enthält den Text und die angehängte EXE-Datei. Der Text sieht wie folgt aus:
-------------------------------------------------- --------------------Hallo!Ich dachte nur, ich würde dich vor einem zerstörerischen neuen E-Mail-Virus warnen.Hier sind einige Informationen:> Der "Red Team" -Virus ist ein komplexer neuer Computervirus, der sich über das Internet verbreitet> das Microsoft Windows-Betriebssystem und Internet-E-Mail. Obwohl> Es ist nicht der erste Virus, der sich per E-Mail verbreitet (das war "Good Times"),> Der Rote-Team-Virus ist in seinen zerstörerischen Fähigkeiten nicht entlarvt.> Darüber hinaus ist das Virus äußerst häufig - es war bereits> berichtet in weiten Teilen Westeuropas, den USA, Russland, Australien und> Japan. Kurz gesagt, überall.>> Wir bei QUEST haben mehrere Wochen damit verbracht, dieses Virus zu analysieren, und sind stolz darauf> anzukündigen, dass wir endlich eine Heilung haben! Das Programm mit dem Namen "K-RTEAM"> (Red Team töten), kann in jeder Microsoft Windows Umgebung ausgeführt werden, und> wird den Red-Team-Virus zuverlässig erkennen (und ggf. entfernen)> Ihre Systempuffer.>> -> Julia Blumin> QUALCOMM Enterprise Softwaretechnologien> World Wide Web: http://www.qualcomm.comDer Grund, warum ich dachte, ich sollte dich warnen, ist, dass wir vor kurzem einen Einlauf hattenmit diesem Biest. Glücklicherweise gelang es uns, eine Kopie des ausgezeichneten zu bekommen"K-RTEAM" Programm vor der Zerstörung begann wirklich. Nur für den FallSie sollten das gleiche Unglück erleiden, ich habe dieses Programm für eingeschlossenGleichfalls.Tschüss!PS: Stellen Sie sicher, dass Sie alle Ihre Freunde vor dieser neuen Bedrohung warnen!-------------------------------------------------- --------------------Dieser Text im Virenkörper ist komprimiert, so dass das Virus es vor dem Speichern in Eudora outbox dekomprimiert. Die angehängte EXE-Datei hat einen NE-Header und heißt K-RTEAM.EXE ("Kill Red Team"), sie hat eine Länge von 6351 Bytes. Es ist ein infiziertes Do-nothing-Programm (der Virus erstellt es auf dem Laufwerk C: Laufwerk - C: K-RTEAM.EXE), das nur den Virus auf dem Computer verbreitet. Am Kopf und am Ende dieser Datei befinden sich die Textstrings:
K-RTEAM - Rotes Team Anti-VirusK-RTEAMRed Team Virus gefunden!Virus entfernen?Virus entfernt!Virus konnte nicht entfernt werden!Der Virus sendet keine Nachrichten zweimal von demselben infizierten Computer. Dazu erstellt der Virus beim Senden infizierter Nachrichten die Datei RTBASE.TOC. Beim nächsten Mal sucht der Virus nach dieser Datei und beendet die E-Mail-Infektion, wenn diese Datei im Verzeichnis angezeigt wird.
Im Labor
Der Virus repliziert sich unter Windows 3.xx und hatte während der Experimente im Labor keine Nebenwirkungen - alle Dateien wurden korrekt infiziert, die Programme waren nicht beschädigt und Windows zeigte keine Warn- / Fehlermeldungen an.Der Virus hat seinen Dropper auch im Eudora-Postausgang ohne Probleme gespeichert. Die infizierten Nachrichten wurden dann über das Internet gesendet und korrekt empfangen.
Unter Windows95 / NT hat der Virus ein Problem - er kann KRNL386.EXE nicht infizieren und kann sich daher nicht resident installieren. Der Fehler ist ziemlich dumm - der Virus reserviert Word (DW) für die Variable "NE Header Offset", aber verwendet es als DoubleWord (DD). Das zweite Wort dieses DoubleWord ist Windows-Version Flag: 0 wenn Windows3.xx, FFFFh wenn Windows95 / NT. Unter Windows95 / NT bekommt der Virus also einen falschen Wert von dieser Variable.
Trotzdem funktionieren die unter Windows 3.xx infizierten Dateien problemlos unter Windows95 / NT und infizieren möglicherweise die Eudora-Datenbank sowie unter Windows 3.xx. Außerdem kann dieser dumme Bug leicht behoben werden und eine Windows95-kompatible Version könnte vom Virenautor veröffentlicht werden.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com