Classe pour les parents: TrojWare
Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.Classe: Trojan-Spy
Les programmes Trojan-Spy sont utilisés pour espionner les actions d'un utilisateur (suivre les données saisies au clavier, faire des captures d'écran, récupérer une liste d'applications en cours, etc.). Les informations récoltées sont ensuite transmises à l'utilisateur malveillant. Email, FTP, le web (y compris les données dans une demande) et d'autres méthodes peuvent être utilisés pour transmettre les données.Plus d'informations
Plateforme: Win9x
No platform descriptionDescription
Détails techniques
Lors de l'infection d'un fichier EXE PE, le virus analyse son format de fichier interne, crée une section supplémentaire à la fin du fichier et y écrit son texte crypté. La section de virus est poursuivie par la table d'exportation du virus utilisée par le virus pour lier son code aux fonctions de l'API Windows nécessaires lorsqu'un fichier infecté est exécuté. Parce que le virus a sa propre table d'exportation, il modifie le pointeur dans l'en-tête PE. Le virus accorde également une attention particulière à la table d'exportation du fichier hôte d'origine. Pour l'enregistrer, le virus déplace les données nécessaires à la fin du fichier et l'ajoute à sa propre table d'exportation. Par conséquent, lorsque Windows charge les fichiers infectés, il traite les tables d'exportation de virus et d'hôte.
Pour lier sa section avec le corps du fichier victime, le virus modifie les champs nécessaires dans l'en-tête PE. Le virus fait cela très précis, et par conséquent dans la plupart des cas ne provoque pas d'erreurs lorsque les fichiers infectés sont chargés, jamais sous WinNT.
Le virus détecte les fichiers déjà infectés par un tampon qui est enregistré dans le fichier date et heure LastWrite. Cette valeur d'ID n'est pas constante et dépend des autres champs de l'heure et de la date du fichier (le virus Rol / Ror / Xor-es cinq d'entre eux pour calculer l'ID).
Trigger routines
Lors de l'installation de la mémoire résidente, le virus appelle trois de ses routines de déclenchement. Le premier d'entre eux vérifie l'environnement du système et en fonction de cela, le virus passe en mode "debug". Le second en fonction de la valeur de l'heure du système affiche le MessageBox:
Le dernier en fonction du compteur aléatoire de virus (qui dépend de la date et l'heure du système), dans un cas de seize, supprime les fichiers OEMINFO.INI et OEMLOGO.BMP dans le répertoire système Windows. Le fichier OEMLOGO.INI contient les chaînes de texte suivantes dans deux sections: [Général]Fabricant = TechnoRatModèle = Très grande zone de vie pour Harrier
[Informations de support]line1 = Aujourd'hui, le virus n'est pas le virus,line2 = mais la partie du système d'exploitation. . .line3 = (C) par 95-ème Harrier de DarkLandline4 = ---line5 = La jolie photo LOGO a été crééeline6 = par PolyGris et LionKing. Idée principaleline7 = et le code de toutes les versions a été développéline8 = par moi - TechnoRatCe fichier BMP et les sections "Général" sont affichés dans la fenêtre "Propriétés système" lorsque MyComputer / Properties est sélectionné. Le virus "Informations de support" s'affiche lorsque vous appuyez sur le bouton correspondant dans la même "Propriété système".
Le "mode de débogage" du virus est activé lorsque l'environnement système contient une chaîne spécifique ("Variable = Valeur", est définie par "SET =" instruction DOS, par exemple). Cette chaîne a 19 symboles et est détectée par le virus en utilisant une boucle CRC ridicule. Cette boucle CRC "compresse" la chaîne à quatre octets, il y a donc plusieurs millions de variantes "lisibles" de cette chaîne.
Lorsque le mode de débogage de virus est activé, il affiche la boîte de message:
Le virus de chaque infection affiche ensuite un MessageBox et informe les demandes d'autorisation d'infecter un fichier, par exemple:
Sur "OK" le virus exécute la routine d'infection, sur "Annuler" le virus affiche un MessageBox plus et quitte:
Comme il est mentionné ci-dessus, les hooks USER32 et GDI32 sont utilisés par les virus dans leur routine de déclenchement - le virus change les textes affichés ou affiche ses propres messages.
Lorsqu'une application infectée appelle la fonction WinHelpA à la 16ème fois, le virus affiche son propre MessageBox au lieu d'appeler la fonction Windows:
"95-th Harrier de DarkLand"Dieu aidera! ;-)Dans tous les appels MessageBoxA, le virus vérifie l'heure du système et, selon le cas, remplace le texte d'origine dans MessageBox par l'une des six variantes suivantes:
Dysfonctionnement du système!Les anneaux VXD ont été croisés!Erreur de thunking du mode CPU!CPU overclocké, l'urgence de l'appareil plus frais!Le sous-système d'aide est endommagé!Attention! Bugs à l'intérieur de l'ordinateur, utilisez SoftIce.
Sur les autres appels hookés, le virus analyse le texte pour quatre variantes de sous-chaînes et les remplace par ses propres versions:
MICROSOFT -> MIcrOSOFTFENÊTRES -> WINDOWSBILL GATES -> Gill BatesHARRIER -> Oh! Les gars! Est-ce à propos de moi?
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com