CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.BAT.Batalia6

Classe Virus
Plateforme BAT
Description

Détails techniques

C'est le virus BAT parasympathique polymorphe résident inoffensif inoffensif. Il recherche les fichiers BAT dans le répertoire courant, puis les infecte. Lors de l'infection d'un fichier, le virus exécute l'archiveur ARJ pour rassembler les fichiers nécessaires. S'il n'y a pas de fichier ARJ.EXE dans PATH, le virus ne parvient pas à se répliquer.

Le fichier batch infecté contient deux parties de code et de données. La première partie (l'en-tête) contient cinq commandes DOS, la seconde partie (le reste) contient un fichier BAT nommé aléatoire qui est compressé en utilisant l'archiveur ARJ et un mot de passe. Ainsi, le fichier infecté contient les chaînes de texte (commandes DOS) et les données binaires (archive ARJ).

Ce fichier BAT contient également deux parties: le code de virus principal (commandes par lots) et les données compressées. Les données compressées contiennent plusieurs fichiers: le fichier hôte, les données de virus et les fichiers de code. Les fichiers infectés ressemblent à des archives ARJ dans les archives ARJ:

 + -------------------- +
 �Instructions BAT � - En-tête 1, code virus de démarrage
 � -------------------- � 
 � Archive ARJ: � - Fichier BAT aléatoire nommé avec ARJ
 � + ---------------- + � 
 � �BAT instructions� � - En-tête 2, code virus principal
 � � ---------------- � � 
 � � Archive ARJ: � � - L'ensemble des fichiers
 � � + ------------ + � � 
 � � �BATALIA6.BAT� � � - Infection, générateur polymorphe et aléatoire
 � � � � � � routines
 � � �hostfile.BAT� � � - Le fichier hôte d'origine
AG � �ZAGL � � � - Fichier de données de virus
 � � �RULZ � � � - Fichier de données de virus
Del � �FINAL.BAT � � � - Supprime les fichiers temporaires et le sous-répertoire
 � � + ------------ + � � 
 � + ---------------- + � 
+ -------------------- + 

L'en-tête 1 contient cinq commandes sélectionnées parmi plusieurs variantes et ayant des longueurs différentes, par exemple:

 @Écho off
rem arj e% 0% compec% -g5
C: COMMAND.COM nul / carj x% 0 -g2
: nul arj x% 0 -g7 C: COMMAND.COM
w HOST.BAT

@Écho off
rem COMMAND.COM nul / carj x% 0 -g1
% comspec% nul / c arj e HOST.BAT -g3
: echo C: COMMAND.COM nul / carj x% 0
Je HOST.BAT 

L'archive ARJ est cryptée avec un mot de passe sélectionné au hasard, de sorte que le virus ne contient pas d'octets constants, et en conséquence, il s'agit du premier virus BAT polymorphe connu.

Lorsqu'il est exécuté, le virus (en-tête 1) exécute l'archiveur ARJ, extrait la seconde partie (fichier BAT) et l'exécute. Le code de la deuxième partie crée le répertoire temporaire, extrait les fichiers de la seconde archive vers le répertoire temporaire, puis exécute les routines search, infecting et polymorphic, puis exécute le fichier hôte et supprime les fichiers temporaires et le répertoire temporaire.

Le code du virus contient les chaînes de texte suivantes:

 : Death Virii Crew et Stealth Group dans le monde
: PRÉSENTS
: Premier moteur de mutation pour BAT!
: Sans ASM!
: [BATalia6] & FMEB (c) par rappel

: // __ _
: + -------- /// ------ + ___ Magazine _ pour VirMakers
: � +++ - ++ - // // - + - +++ � ___ __________________ ___________________ _ ________
: � ++ � � ///// � � ��� __ ___ ___ ___ ___ ___ ___ ___ � _ ___ _ ___ ___
: � ++ - + ///// ++ - ++ � _ _ _ __ __ _ _ __ _ _ _ _ _ _ _ _ _ _
: + ------ // // ------- + _ _ _ _ ___ ___ _ ___ ___ __ ___ _ ___ ____
: GROUPE // // MONDIAL _ _________________ _______________________________
:
: Boîte 10, Kiev 252148
: Case 15, Moscou 125080
: Case 11, Loutsk 263020
:
: READINFECTEDVOICE
:
: (c) par un rappel (22 mai 1996) 

Lien vers l'original