CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Trojan-Spy.Win9x.Harrier

Classe Trojan-Spy
Plateforme Win9x
Description

Détails techniques

Lors de l'infection d'un fichier EXE PE, le virus analyse son format de fichier interne, crée une section supplémentaire à la fin du fichier et y écrit son texte crypté. La section de virus est poursuivie par la table d'exportation du virus utilisée par le virus pour lier son code aux fonctions de l'API Windows nécessaires lorsqu'un fichier infecté est exécuté. Parce que le virus a sa propre table d'exportation, il modifie le pointeur dans l'en-tête PE. Le virus accorde également une attention particulière à la table d'exportation du fichier hôte d'origine. Pour l'enregistrer, le virus déplace les données nécessaires à la fin du fichier et l'ajoute à sa propre table d'exportation. Par conséquent, lorsque Windows charge les fichiers infectés, il traite les tables d'exportation de virus et d'hôte.

Pour lier sa section avec le corps du fichier victime, le virus modifie les champs nécessaires dans l'en-tête PE. Le virus fait cela très précis, et par conséquent dans la plupart des cas ne provoque pas d'erreurs lorsque les fichiers infectés sont chargés, jamais sous WinNT.

Le virus détecte les fichiers déjà infectés par un tampon qui est enregistré dans le fichier date et heure LastWrite. Cette valeur d'ID n'est pas constante et dépend des autres champs de l'heure et de la date du fichier (le virus Rol / Ror / Xor-es cinq d'entre eux pour calculer l'ID).

Trigger routines

Lors de l'installation de la mémoire résidente, le virus appelle trois de ses routines de déclenchement. Le premier d'entre eux vérifie l'environnement du système et en fonction de cela, le virus passe en mode "debug". Le second en fonction de la valeur de l'heure du système affiche le MessageBox:

Le dernier en fonction du compteur aléatoire de virus (qui dépend de la date et l'heure du système), dans un cas de seize, supprime les fichiers OEMINFO.INI et OEMLOGO.BMP dans le répertoire système Windows. Le fichier OEMLOGO.INI contient les chaînes de texte suivantes dans deux sections:


[Général]
Fabricant = TechnoRat
Modèle = Très grande zone de vie pour Harrier

[Informations de support]
line1 = Aujourd'hui, le virus n'est pas le virus,
line2 = mais la partie du système d'exploitation. . .
line3 = (C) par 95-ème Harrier de DarkLand
line4 = —
line5 = La jolie photo LOGO a été créée
line6 = par PolyGris et LionKing. Idée principale
line7 = et le code de toutes les versions a été développé
line8 = par moi – TechnoRat
Ce fichier BMP et les sections "Général" sont affichés dans la fenêtre "Propriétés système" lorsque MyComputer / Properties est sélectionné. Le virus "Informations de support" s'affiche lorsque vous appuyez sur le bouton correspondant dans la même "Propriété système".

Le "mode de débogage" du virus est activé lorsque l'environnement système contient une chaîne spécifique ("Variable = Valeur", est définie par "SET =" instruction DOS, par exemple). Cette chaîne a 19 symboles et est détectée par le virus en utilisant une boucle CRC ridicule. Cette boucle CRC "compresse" la chaîne à quatre octets, il y a donc plusieurs millions de variantes "lisibles" de cette chaîne.

Lorsque le mode de débogage de virus est activé, il affiche la boîte de message:

Le virus de chaque infection affiche ensuite un MessageBox et informe les demandes d'autorisation d'infecter un fichier, par exemple:

Sur "OK" le virus exécute la routine d'infection, sur "Annuler" le virus affiche un MessageBox plus et quitte:

Comme il est mentionné ci-dessus, les hooks USER32 et GDI32 sont utilisés par les virus dans leur routine de déclenchement – le virus change les textes affichés ou affiche ses propres messages.

Lorsqu'une application infectée appelle la fonction WinHelpA à la 16ème fois, le virus affiche son propre MessageBox au lieu d'appeler la fonction Windows:


"95-th Harrier de DarkLand"
Dieu aidera! 😉
Dans tous les appels MessageBoxA, le virus vérifie l'heure du système et, selon le cas, remplace le texte d'origine dans MessageBox par l'une des six variantes suivantes:


Dysfonctionnement du système!
Les anneaux VXD ont été croisés!
Erreur de thunking du mode CPU!
CPU overclocké, l'urgence de l'appareil plus frais!
Le sous-système d'aide est endommagé!
Attention! Bugs à l'intérieur de l'ordinateur, utilisez SoftIce.

Sur les autres appels hookés, le virus analyse le texte pour quatre variantes de sous-chaînes et les remplace par ses propres versions:


MICROSOFT -> MIcrOSOFT
FENÊTRES -> WINDOWS
BILL GATES -> Gill Bates
HARRIER -> Oh! Les gars! Est-ce à propos de moi?


Lien vers l'original