Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Virus
Les virus se répliquent sur les ressources de la machine locale. Contrairement aux vers, les virus n'utilisent pas les services réseau pour propager ou pénétrer d'autres ordinateurs. Une copie d'un virus n'atteindra les ordinateurs distants que si l'objet infecté est, pour une raison quelconque non liée à la fonction virale, activé sur un autre ordinateur. Par exemple: lors de l'infection de disques accessibles, un virus pénètre dans un fichier situé sur une ressource réseau un virus se copie sur un périphérique de stockage amovible ou infecte un fichier sur un périphérique amovible un utilisateur envoie un courrier électronique avec une pièce jointe infectée.Plus d'informations
Plateforme: DOS
No platform descriptionDescription
Détails techniques
C'est un virus dangereux qui ne réside pas dans la mémoire. Il recherche les fichiers d'archive et les infecte. Heureusement, il ne recherche que le format des archiveurs. Les fichiers d'archive pour l'infection doivent être dans la norme ARJ seulement. Ces archives de fichiers sont le résultat du travail du compresseur ARJ.EXE.
ARJ.EXE est un programme d'archivage qui permet de compresser et de stocker un ou plusieurs fichiers (y compris les sous-répertoires) dans un ou plusieurs fichiers d'archives (en argot - arjive) au format compressé. Ce logiciel est protégé par copyright (c) 1990-1993 par Robert K Jung.
Ce virus, qui est un ver plus qu'un virus DOS standard, a une longueur de 5000 octets. Il met à jour ces fichiers par sa copie (virus). A l'exécution, cet infecteur recherche les fichiers avec l'extension ARJ en utilisant le masque "* .arj" (les fichiers avec l'extension ARJ sont créés par l'utilitaire ARJ.EXE et contiennent les fichiers compressés). Il recherche les fichiers ARJ dans le répertoire actuel et tous les répertoires parents.
Si le fichier d'archive ARJ est trouvé, le virus crée un fichier temporaire avec un nom sélectionné au hasard et une extension COM. Ce nom est composé de quatre lettres de 'A' t0 'V'; la limitation 'V' est parce que ce virus utilise la limite 0Fh pour le numéro de lettre, la 15ème lettre (0Fh) est 'V'. Les noms de résultat ressemble à BHPL.COM, NLJJ.COM, OKPD.COM etc. Ensuite, le virus écrit lui-même (5000 octets) dans ce fichier COM, et pour cacher il ajoute au fichier les octets de la poubelle de longueur sélectionnée aléatoire. Le virus vérifie que la longueur de cette poubelle ne doit pas dépasser la longueur maximale du fichier COM exécutable. La longueur des fichiers de ver de résultat est supérieure à 5000 octets. Les 5000 octets sont la longueur du corps du ver qui est stocké dans le fichier sur toute infection.
Ensuite, le virus insère ce fichier dans l'archive qui a été trouvée. Il le fait de la manière la plus simple - le virus force l'utilitaire ARJ.EXE à le faire. Un des commutateurs ARJ.EXE est un caractère "a", il oblige à ajouter le (s) fichier (s) dans le fichier archive ARJ. Et le virus utilise cette option, il exécute le ARJ.EXE avec un caractère "a" en utilisant la fonction C standard. La chaîne qui est exécutée ressemble à:
c: command.com / c arj aoù.com
Lors de l'exécution de cette commande, l'archiveur ARJ.EXE compresse et ajoute le ver dans le fichier d'archive trouvé. Ensuite, le virus supprime le fichier temporaire et recherche le fichier ARJ suivant. S'il n'y a pas de fichiers d'archive dans le répertoire en cours, le virus saute au fichier parent. Si le répertoire en cours est le répertoire racine du disque, le virus retourne à DOS.
L'une des caractéristiques de cet infecteur est une infection en double. Lors de l'exécution de l'archive, le virus ne vérifie pas la présence du fichier, et comment peut-il le faire? Pour vérifier l'archive à l'intérieur n'est pas une tâche facile, et je vois que l'auteur de ce virus ne l'a pas défini (infection en double) comme un objet. Il a réalisé la nouvelle idée par la manière la plus facile, pas plus.
Le virus génère des noms aléatoires des fichiers de ver. Parfois, il peut générer le nom qui est présent dans le fichier ARJ qui est pour l'infection. En conséquence, ce fichier sera écrasé par le virus et le contenu de ce fichier sera perdu. Bien sûr, la probabilité d'exécution du fichier ver augmente dans ce cas.
Pour cacher sa propagation, le virus croise INT 10h - l'interruption vidéo. Il le définit à l'instruction IRET qui désactive la sortie standard à l'écran. Cette fonctionnalité cache le virus, mais si des erreurs d'activité virale se produisent, le programme ARJ.EXE ou DOS affichera le message d'erreur (par exemple, "Erreur de protection contre l'écriture du lecteur A:") et attendra la réponse. Mais le virus désactive la sortie, et l'utilisateur ne verra que l'écran vide. Il semble que l'ordinateur raccroche. En passant, la machine DOS virtuelle sous MS-Windows bascule en mode texte plein écran sur l'erreur de protection en écriture, et il est impossible de passer à une autre tâche. Dernière remarque: ce virus contient la courte chaîne de texte interne:
* .arj .. 0000.com / c arj ac: command.com
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com