CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Trojan-Spy Win9x

Trojan-Spy.Win9x.Harrier

Classe
Trojan-Spy
Plateforme
Win9x

Classe pour les parents: TrojWare

Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.

Classe: Trojan-Spy

Les programmes Trojan-Spy sont utilisés pour espionner les actions d'un utilisateur (suivre les données saisies au clavier, faire des captures d'écran, récupérer une liste d'applications en cours, etc.). Les informations récoltées sont ensuite transmises à l'utilisateur malveillant. Email, FTP, le web (y compris les données dans une demande) et d'autres méthodes peuvent être utilisés pour transmettre les données.

Plus d'informations

Plateforme: Win9x

No platform description

Description

Détails techniques

Lors de l'infection d'un fichier EXE PE, le virus analyse son format de fichier interne, crée une section supplémentaire à la fin du fichier et y écrit son texte crypté. La section de virus est poursuivie par la table d'exportation du virus utilisée par le virus pour lier son code aux fonctions de l'API Windows nécessaires lorsqu'un fichier infecté est exécuté. Parce que le virus a sa propre table d'exportation, il modifie le pointeur dans l'en-tête PE. Le virus accorde également une attention particulière à la table d'exportation du fichier hôte d'origine. Pour l'enregistrer, le virus déplace les données nécessaires à la fin du fichier et l'ajoute à sa propre table d'exportation. Par conséquent, lorsque Windows charge les fichiers infectés, il traite les tables d'exportation de virus et d'hôte.

Pour lier sa section avec le corps du fichier victime, le virus modifie les champs nécessaires dans l'en-tête PE. Le virus fait cela très précis, et par conséquent dans la plupart des cas ne provoque pas d'erreurs lorsque les fichiers infectés sont chargés, jamais sous WinNT.

Le virus détecte les fichiers déjà infectés par un tampon qui est enregistré dans le fichier date et heure LastWrite. Cette valeur d'ID n'est pas constante et dépend des autres champs de l'heure et de la date du fichier (le virus Rol / Ror / Xor-es cinq d'entre eux pour calculer l'ID).

Trigger routines

Lors de l'installation de la mémoire résidente, le virus appelle trois de ses routines de déclenchement. Le premier d'entre eux vérifie l'environnement du système et en fonction de cela, le virus passe en mode "debug". Le second en fonction de la valeur de l'heure du système affiche le MessageBox:

Le dernier en fonction du compteur aléatoire de virus (qui dépend de la date et l'heure du système), dans un cas de seize, supprime les fichiers OEMINFO.INI et OEMLOGO.BMP dans le répertoire système Windows. Le fichier OEMLOGO.INI contient les chaînes de texte suivantes dans deux sections: 

[Général]Fabricant = TechnoRatModèle = Très grande zone de vie pour Harrier
[Informations de support]line1 = Aujourd'hui, le virus n'est pas le virus,line2 = mais la partie du système d'exploitation. . .line3 = (C) par 95-ème Harrier de DarkLandline4 = ---line5 = La jolie photo LOGO a été crééeline6 = par PolyGris et LionKing. Idée principaleline7 = et le code de toutes les versions a été développéline8 = par moi - TechnoRat
Ce fichier BMP et les sections "Général" sont affichés dans la fenêtre "Propriétés système" lorsque MyComputer / Properties est sélectionné. Le virus "Informations de support" s'affiche lorsque vous appuyez sur le bouton correspondant dans la même "Propriété système".

Le "mode de débogage" du virus est activé lorsque l'environnement système contient une chaîne spécifique ("Variable = Valeur", est définie par "SET =" instruction DOS, par exemple). Cette chaîne a 19 symboles et est détectée par le virus en utilisant une boucle CRC ridicule. Cette boucle CRC "compresse" la chaîne à quatre octets, il y a donc plusieurs millions de variantes "lisibles" de cette chaîne.

Lorsque le mode de débogage de virus est activé, il affiche la boîte de message:

Le virus de chaque infection affiche ensuite un MessageBox et informe les demandes d'autorisation d'infecter un fichier, par exemple:

Sur "OK" le virus exécute la routine d'infection, sur "Annuler" le virus affiche un MessageBox plus et quitte:

Comme il est mentionné ci-dessus, les hooks USER32 et GDI32 sont utilisés par les virus dans leur routine de déclenchement - le virus change les textes affichés ou affiche ses propres messages.

Lorsqu'une application infectée appelle la fonction WinHelpA à la 16ème fois, le virus affiche son propre MessageBox au lieu d'appeler la fonction Windows: 

"95-th Harrier de DarkLand"Dieu aidera! ;-)
Dans tous les appels MessageBoxA, le virus vérifie l'heure du système et, selon le cas, remplace le texte d'origine dans MessageBox par l'une des six variantes suivantes: 

Dysfonctionnement du système!Les anneaux VXD ont été croisés!Erreur de thunking du mode CPU!CPU overclocké, l'urgence de l'appareil plus frais!Le sous-système d'aide est endommagé!Attention! Bugs à l'intérieur de l'ordinateur, utilisez SoftIce.

Sur les autres appels hookés, le virus analyse le texte pour quatre variantes de sous-chaînes et les remplace par ses propres versions: 

MICROSOFT -> MIcrOSOFTFENÊTRES -> WINDOWSBILL GATES -> Gill BatesHARRIER -> Oh! Les gars! Est-ce à propos de moi?

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.