Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Der Virus ist ziemlich groß – er ist in Microsoft Visual C ++ geschrieben und ist etwa 125K. Der ursprüngliche Viruscode belegt etwa 14K, GZIP-Routinen – 20K, C-Laufzeitbibliotheken – 40K. Andere Datenbereiche sind mit Viren / C ++ – Daten, Ressourcen usw. belegt.

Der Virus hat eine recht ungewöhnliche Struktur: Die infizierten Dateien enthalten Code- und Datensegmente sowie drei Ressourcen, die komprimierte ausführbare Dateien enthalten. Die erste Ressource enthält die standardmäßige NT4-PSAPI.DLL, die vom Virus für den Zugriff auf Prozesse im Systemspeicher verwendet wird.

Die zweite Ressource ist der ursprüngliche Viruscode selbst (einschließlich der gleichen komprimierten PSAPI.DLL in der Ressource). Diese Kopie des Virencodes wird als Originaldatei verwendet, um den Virus in das System zu installieren und EXE-Dateien zu infizieren.

Die dritte Ressource ist die Host-Datei, die extrahiert und dekomprimiert wird, wenn der Virus das Host-Programm ausführen muss.

System Registry: Während der Installation seines SYS-Treibers auf dem System verwendet der Virus die Standard-NT-API-Aufrufe. Dies führt dazu, dass das System die Virustreiber in der Systemregistrierung registriert – der HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemote Explorer wird erstellt.

Temporäre Dateien: Beim Komprimieren / Dekomprimieren von Dateien benötigt der Virus temporäre Dateien. Es erstellt sie im temporären Windows-Verzeichnis mit den zufälligen Namen ~ xxxdddd.TMP (wobei 'x' Buchstaben und 'd' Ziffern sind).

Fortsetzen

Der Virus ist der erste native "speicherresidente" NT-Infektor, also könnte er als Supervirus aussehen. Tatsächlich wurde der Virus von einigen Entwicklern der mittleren Ebene geschrieben, die Zugriff auf die NT DeviceDevelopmentKit-Dokumentation hatten.

Der Virus hakt kein NT-Ereignis, verwendet keine Netzwerkprotokolle, versucht nicht auf die Kennwörter zuzugreifen und verteilt seine Kopie nicht über das globale Netzwerk. Darüber hinaus haben die normalen parasitären DOS-Viren die gleichen Netzwerk-Ausbreitungsfähigkeiten wie dieser Virus – sie können auch Dateien auf entfernten freigegebenen Laufwerken infizieren, im Systemspeicher bleiben usw.

Dies ist nur ein Standard-Parasiten-Virus, aber mit NT-Service-Infektion Fähigkeit. Es ist nicht komplexer als einige andere bereits bekannte Windows-Viren und definitiv nicht komplexer als der bekannte BO-Trojaner (BackOrifice).

Dieser Virus ist kein Schock – es ist lang erwartete WindowsNT-Service-Virus.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	Win32
Beschreibung	Technische Details Der Virus ist ziemlich groß – er ist in Microsoft Visual C ++ geschrieben und ist etwa 125K. Der ursprüngliche Viruscode belegt etwa 14K, GZIP-Routinen – 20K, C-Laufzeitbibliotheken – 40K. Andere Datenbereiche sind mit Viren / C ++ – Daten, Ressourcen usw. belegt. Der Virus hat eine recht ungewöhnliche Struktur: Die infizierten Dateien enthalten Code- und Datensegmente sowie drei Ressourcen, die komprimierte ausführbare Dateien enthalten. Die erste Ressource enthält die standardmäßige NT4-PSAPI.DLL, die vom Virus für den Zugriff auf Prozesse im Systemspeicher verwendet wird. Die zweite Ressource ist der ursprüngliche Viruscode selbst (einschließlich der gleichen komprimierten PSAPI.DLL in der Ressource). Diese Kopie des Virencodes wird als Originaldatei verwendet, um den Virus in das System zu installieren und EXE-Dateien zu infizieren. Die dritte Ressource ist die Host-Datei, die extrahiert und dekomprimiert wird, wenn der Virus das Host-Programm ausführen muss. System Registry: Während der Installation seines SYS-Treibers auf dem System verwendet der Virus die Standard-NT-API-Aufrufe. Dies führt dazu, dass das System die Virustreiber in der Systemregistrierung registriert – der HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemote Explorer wird erstellt. Temporäre Dateien: Beim Komprimieren / Dekomprimieren von Dateien benötigt der Virus temporäre Dateien. Es erstellt sie im temporären Windows-Verzeichnis mit den zufälligen Namen ~ xxxdddd.TMP (wobei 'x' Buchstaben und 'd' Ziffern sind). Fortsetzen Der Virus ist der erste native "speicherresidente" NT-Infektor, also könnte er als Supervirus aussehen. Tatsächlich wurde der Virus von einigen Entwicklern der mittleren Ebene geschrieben, die Zugriff auf die NT DeviceDevelopmentKit-Dokumentation hatten. Der Virus hakt kein NT-Ereignis, verwendet keine Netzwerkprotokolle, versucht nicht auf die Kennwörter zuzugreifen und verteilt seine Kopie nicht über das globale Netzwerk. Darüber hinaus haben die normalen parasitären DOS-Viren die gleichen Netzwerk-Ausbreitungsfähigkeiten wie dieser Virus – sie können auch Dateien auf entfernten freigegebenen Laufwerken infizieren, im Systemspeicher bleiben usw. Dies ist nur ein Standard-Parasiten-Virus, aber mit NT-Service-Infektion Fähigkeit. Es ist nicht komplexer als einige andere bereits bekannte Windows-Viren und definitiv nicht komplexer als der bekannte BO-Trojaner (BackOrifice). Dieser Virus ist kein Schock – es ist lang erwartete WindowsNT-Service-Virus.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.Win32.RemEx

Technische Details

Fortsetzen