Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Lors de l'infection d'un fichier EXE PE, le virus analyse son format de fichier interne, crée une section supplémentaire à la fin du fichier et y écrit son texte crypté. La section de virus est poursuivie par la table d'exportation du virus utilisée par le virus pour lier son code aux fonctions de l'API Windows nécessaires lorsqu'un fichier infecté est exécuté. Parce que le virus a sa propre table d'exportation, il modifie le pointeur dans l'en-tête PE. Le virus accorde également une attention particulière à la table d'exportation du fichier hôte d'origine. Pour l'enregistrer, le virus déplace les données nécessaires à la fin du fichier et l'ajoute à sa propre table d'exportation. Par conséquent, lorsque Windows charge les fichiers infectés, il traite les tables d'exportation de virus et d'hôte.

Pour lier sa section avec le corps du fichier victime, le virus modifie les champs nécessaires dans l'en-tête PE. Le virus fait cela très précis, et par conséquent dans la plupart des cas ne provoque pas d'erreurs lorsque les fichiers infectés sont chargés, jamais sous WinNT.

Le virus détecte les fichiers déjà infectés par un tampon qui est enregistré dans le fichier date et heure LastWrite. Cette valeur d'ID n'est pas constante et dépend des autres champs de l'heure et de la date du fichier (le virus Rol / Ror / Xor-es cinq d'entre eux pour calculer l'ID).

Trigger routines

Lors de l'installation de la mémoire résidente, le virus appelle trois de ses routines de déclenchement. Le premier d'entre eux vérifie l'environnement du système et en fonction de cela, le virus passe en mode "debug". Le second en fonction de la valeur de l'heure du système affiche le MessageBox:

Le dernier en fonction du compteur aléatoire de virus (qui dépend de la date et l'heure du système), dans un cas de seize, supprime les fichiers OEMINFO.INI et OEMLOGO.BMP dans le répertoire système Windows. Le fichier OEMLOGO.INI contient les chaînes de texte suivantes dans deux sections:



[Général]

Fabricant = TechnoRat

Modèle = Très grande zone de vie pour Harrier



[Informations de support]

line1 = Aujourd'hui, le virus n'est pas le virus,

line2 = mais la partie du système d'exploitation. . .

line3 = (C) par 95-ème Harrier de DarkLand

line4 = —

line5 = La jolie photo LOGO a été créée

line6 = par PolyGris et LionKing. Idée principale

line7 = et le code de toutes les versions a été développé

line8 = par moi – TechnoRat

Ce fichier BMP et les sections "Général" sont affichés dans la fenêtre "Propriétés système" lorsque MyComputer / Properties est sélectionné. Le virus "Informations de support" s'affiche lorsque vous appuyez sur le bouton correspondant dans la même "Propriété système".

Le "mode de débogage" du virus est activé lorsque l'environnement système contient une chaîne spécifique ("Variable = Valeur", est définie par "SET =" instruction DOS, par exemple). Cette chaîne a 19 symboles et est détectée par le virus en utilisant une boucle CRC ridicule. Cette boucle CRC "compresse" la chaîne à quatre octets, il y a donc plusieurs millions de variantes "lisibles" de cette chaîne.

Lorsque le mode de débogage de virus est activé, il affiche la boîte de message:

Le virus de chaque infection affiche ensuite un MessageBox et informe les demandes d'autorisation d'infecter un fichier, par exemple:

Sur "OK" le virus exécute la routine d'infection, sur "Annuler" le virus affiche un MessageBox plus et quitte:

Comme il est mentionné ci-dessus, les hooks USER32 et GDI32 sont utilisés par les virus dans leur routine de déclenchement – le virus change les textes affichés ou affiche ses propres messages.

Lorsqu'une application infectée appelle la fonction WinHelpA à la 16ème fois, le virus affiche son propre MessageBox au lieu d'appeler la fonction Windows:



"95-th Harrier de DarkLand"

Dieu aidera! 😉

Dans tous les appels MessageBoxA, le virus vérifie l'heure du système et, selon le cas, remplace le texte d'origine dans MessageBox par l'une des six variantes suivantes:



Dysfonctionnement du système!

Les anneaux VXD ont été croisés!

Erreur de thunking du mode CPU!

CPU overclocké, l'urgence de l'appareil plus frais!

Le sous-système d'aide est endommagé!

Attention! Bugs à l'intérieur de l'ordinateur, utilisez SoftIce.

Sur les autres appels hookés, le virus analyse le texte pour quatre variantes de sous-chaînes et les remplace par ses propres versions:



MICROSOFT -> MIcrOSOFT

FENÊTRES -> WINDOWS

BILL GATES -> Gill Bates

HARRIER -> Oh! Les gars! Est-ce à propos de moi?

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Trojan-Spy
Plateforme	Win9x
Description	Détails techniques Lors de l'infection d'un fichier EXE PE, le virus analyse son format de fichier interne, crée une section supplémentaire à la fin du fichier et y écrit son texte crypté. La section de virus est poursuivie par la table d'exportation du virus utilisée par le virus pour lier son code aux fonctions de l'API Windows nécessaires lorsqu'un fichier infecté est exécuté. Parce que le virus a sa propre table d'exportation, il modifie le pointeur dans l'en-tête PE. Le virus accorde également une attention particulière à la table d'exportation du fichier hôte d'origine. Pour l'enregistrer, le virus déplace les données nécessaires à la fin du fichier et l'ajoute à sa propre table d'exportation. Par conséquent, lorsque Windows charge les fichiers infectés, il traite les tables d'exportation de virus et d'hôte. Pour lier sa section avec le corps du fichier victime, le virus modifie les champs nécessaires dans l'en-tête PE. Le virus fait cela très précis, et par conséquent dans la plupart des cas ne provoque pas d'erreurs lorsque les fichiers infectés sont chargés, jamais sous WinNT. Le virus détecte les fichiers déjà infectés par un tampon qui est enregistré dans le fichier date et heure LastWrite. Cette valeur d'ID n'est pas constante et dépend des autres champs de l'heure et de la date du fichier (le virus Rol / Ror / Xor-es cinq d'entre eux pour calculer l'ID). Trigger routines Lors de l'installation de la mémoire résidente, le virus appelle trois de ses routines de déclenchement. Le premier d'entre eux vérifie l'environnement du système et en fonction de cela, le virus passe en mode "debug". Le second en fonction de la valeur de l'heure du système affiche le MessageBox: Le dernier en fonction du compteur aléatoire de virus (qui dépend de la date et l'heure du système), dans un cas de seize, supprime les fichiers OEMINFO.INI et OEMLOGO.BMP dans le répertoire système Windows. Le fichier OEMLOGO.INI contient les chaînes de texte suivantes dans deux sections: [Général] Fabricant = TechnoRat Modèle = Très grande zone de vie pour Harrier [Informations de support] line1 = Aujourd'hui, le virus n'est pas le virus, line2 = mais la partie du système d'exploitation. . . line3 = (C) par 95-ème Harrier de DarkLand line4 = — line5 = La jolie photo LOGO a été créée line6 = par PolyGris et LionKing. Idée principale line7 = et le code de toutes les versions a été développé line8 = par moi – TechnoRat Ce fichier BMP et les sections "Général" sont affichés dans la fenêtre "Propriétés système" lorsque MyComputer / Properties est sélectionné. Le virus "Informations de support" s'affiche lorsque vous appuyez sur le bouton correspondant dans la même "Propriété système". Le "mode de débogage" du virus est activé lorsque l'environnement système contient une chaîne spécifique ("Variable = Valeur", est définie par "SET =" instruction DOS, par exemple). Cette chaîne a 19 symboles et est détectée par le virus en utilisant une boucle CRC ridicule. Cette boucle CRC "compresse" la chaîne à quatre octets, il y a donc plusieurs millions de variantes "lisibles" de cette chaîne. Lorsque le mode de débogage de virus est activé, il affiche la boîte de message: Le virus de chaque infection affiche ensuite un MessageBox et informe les demandes d'autorisation d'infecter un fichier, par exemple: Sur "OK" le virus exécute la routine d'infection, sur "Annuler" le virus affiche un MessageBox plus et quitte: Comme il est mentionné ci-dessus, les hooks USER32 et GDI32 sont utilisés par les virus dans leur routine de déclenchement – le virus change les textes affichés ou affiche ses propres messages. Lorsqu'une application infectée appelle la fonction WinHelpA à la 16ème fois, le virus affiche son propre MessageBox au lieu d'appeler la fonction Windows: "95-th Harrier de DarkLand" Dieu aidera! 😉 Dans tous les appels MessageBoxA, le virus vérifie l'heure du système et, selon le cas, remplace le texte d'origine dans MessageBox par l'une des six variantes suivantes: Dysfonctionnement du système! Les anneaux VXD ont été croisés! Erreur de thunking du mode CPU! CPU overclocké, l'urgence de l'appareil plus frais! Le sous-système d'aide est endommagé! Attention! Bugs à l'intérieur de l'ordinateur, utilisez SoftIce. Sur les autres appels hookés, le virus analyse le texte pour quatre variantes de sous-chaînes et les remplace par ses propres versions: MICROSOFT -> MIcrOSOFT FENÊTRES -> WINDOWS BILL GATES -> Gill Bates HARRIER -> Oh! Les gars! Est-ce à propos de moi?
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Trojan-Spy.Win9x.Harrier

Détails techniques

Trigger routines