Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un virus dangereux qui ne réside pas dans la mémoire. Il recherche les fichiers d'archive et les infecte. Heureusement, il ne recherche que le format des archiveurs. Les fichiers d'archive pour l'infection doivent être dans la norme ARJ seulement. Ces archives de fichiers sont le résultat du travail du compresseur ARJ.EXE.

ARJ.EXE est un programme d'archivage qui permet de compresser et de stocker un ou plusieurs fichiers (y compris les sous-répertoires) dans un ou plusieurs fichiers d'archives (en argot – arjive) au format compressé. Ce logiciel est protégé par copyright (c) 1990-1993 par Robert K Jung.

Ce virus, qui est un ver plus qu'un virus DOS standard, a une longueur de 5000 octets. Il met à jour ces fichiers par sa copie (virus). A l'exécution, cet infecteur recherche les fichiers avec l'extension ARJ en utilisant le masque "* .arj" (les fichiers avec l'extension ARJ sont créés par l'utilitaire ARJ.EXE et contiennent les fichiers compressés). Il recherche les fichiers ARJ dans le répertoire actuel et tous les répertoires parents.

Si le fichier d'archive ARJ est trouvé, le virus crée un fichier temporaire avec un nom sélectionné au hasard et une extension COM. Ce nom est composé de quatre lettres de 'A' t0 'V'; la limitation 'V' est parce que ce virus utilise la limite 0Fh pour le numéro de lettre, la 15ème lettre (0Fh) est 'V'. Les noms de résultat ressemble à BHPL.COM, NLJJ.COM, OKPD.COM etc. Ensuite, le virus écrit lui-même (5000 octets) dans ce fichier COM, et pour cacher il ajoute au fichier les octets de la poubelle de longueur sélectionnée aléatoire. Le virus vérifie que la longueur de cette poubelle ne doit pas dépasser la longueur maximale du fichier COM exécutable. La longueur des fichiers de ver de résultat est supérieure à 5000 octets. Les 5000 octets sont la longueur du corps du ver qui est stocké dans le fichier sur toute infection.

Ensuite, le virus insère ce fichier dans l'archive qui a été trouvée. Il le fait de la manière la plus simple – le virus force l'utilitaire ARJ.EXE à le faire. Un des commutateurs ARJ.EXE est un caractère "a", il oblige à ajouter le (s) fichier (s) dans le fichier archive ARJ. Et le virus utilise cette option, il exécute le ARJ.EXE avec un caractère "a" en utilisant la fonction C standard. La chaîne qui est exécutée ressemble à:

c: command.com / c arj a  .com

où est le nom avec l'extension de l'archive ARJ qui a été trouvée, est le quatre octets de longueur sélectionné nom aléatoire décrit ci-dessus. Le commutateur "/ c" provoque COMMAND.COM pour exécuter le programme pointé (ARJ.EXE) et quitte immédiatement.

Lors de l'exécution de cette commande, l'archiveur ARJ.EXE compresse et ajoute le ver dans le fichier d'archive trouvé. Ensuite, le virus supprime le fichier temporaire et recherche le fichier ARJ suivant. S'il n'y a pas de fichiers d'archive dans le répertoire en cours, le virus saute au fichier parent. Si le répertoire en cours est le répertoire racine du disque, le virus retourne à DOS.

L'une des caractéristiques de cet infecteur est une infection en double. Lors de l'exécution de l'archive, le virus ne vérifie pas la présence du fichier, et comment peut-il le faire? Pour vérifier l'archive à l'intérieur n'est pas une tâche facile, et je vois que l'auteur de ce virus ne l'a pas défini (infection en double) comme un objet. Il a réalisé la nouvelle idée par la manière la plus facile, pas plus.

Le virus génère des noms aléatoires des fichiers de ver. Parfois, il peut générer le nom qui est présent dans le fichier ARJ qui est pour l'infection. En conséquence, ce fichier sera écrasé par le virus et le contenu de ce fichier sera perdu. Bien sûr, la probabilité d'exécution du fichier ver augmente dans ce cas.

Pour cacher sa propagation, le virus croise INT 10h – l'interruption vidéo. Il le définit à l'instruction IRET qui désactive la sortie standard à l'écran. Cette fonctionnalité cache le virus, mais si des erreurs d'activité virale se produisent, le programme ARJ.EXE ou DOS affichera le message d'erreur (par exemple, "Erreur de protection contre l'écriture du lecteur A:") et attendra la réponse. Mais le virus désactive la sortie, et l'utilisateur ne verra que l'écran vide. Il semble que l'ordinateur raccroche. En passant, la machine DOS virtuelle sous MS-Windows bascule en mode texte plein écran sur l'erreur de protection en écriture, et il est impossible de passer à une autre tâche. Dernière remarque: ce virus contient la courte chaîne de texte interne:

* .arj .. 0000.com / c arj ac: command.com

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	DOS
Description	Détails techniques C'est un virus dangereux qui ne réside pas dans la mémoire. Il recherche les fichiers d'archive et les infecte. Heureusement, il ne recherche que le format des archiveurs. Les fichiers d'archive pour l'infection doivent être dans la norme ARJ seulement. Ces archives de fichiers sont le résultat du travail du compresseur ARJ.EXE. ARJ.EXE est un programme d'archivage qui permet de compresser et de stocker un ou plusieurs fichiers (y compris les sous-répertoires) dans un ou plusieurs fichiers d'archives (en argot – arjive) au format compressé. Ce logiciel est protégé par copyright (c) 1990-1993 par Robert K Jung. Ce virus, qui est un ver plus qu'un virus DOS standard, a une longueur de 5000 octets. Il met à jour ces fichiers par sa copie (virus). A l'exécution, cet infecteur recherche les fichiers avec l'extension ARJ en utilisant le masque "* .arj" (les fichiers avec l'extension ARJ sont créés par l'utilitaire ARJ.EXE et contiennent les fichiers compressés). Il recherche les fichiers ARJ dans le répertoire actuel et tous les répertoires parents. Si le fichier d'archive ARJ est trouvé, le virus crée un fichier temporaire avec un nom sélectionné au hasard et une extension COM. Ce nom est composé de quatre lettres de 'A' t0 'V'; la limitation 'V' est parce que ce virus utilise la limite 0Fh pour le numéro de lettre, la 15ème lettre (0Fh) est 'V'. Les noms de résultat ressemble à BHPL.COM, NLJJ.COM, OKPD.COM etc. Ensuite, le virus écrit lui-même (5000 octets) dans ce fichier COM, et pour cacher il ajoute au fichier les octets de la poubelle de longueur sélectionnée aléatoire. Le virus vérifie que la longueur de cette poubelle ne doit pas dépasser la longueur maximale du fichier COM exécutable. La longueur des fichiers de ver de résultat est supérieure à 5000 octets. Les 5000 octets sont la longueur du corps du ver qui est stocké dans le fichier sur toute infection. Ensuite, le virus insère ce fichier dans l'archive qui a été trouvée. Il le fait de la manière la plus simple – le virus force l'utilitaire ARJ.EXE à le faire. Un des commutateurs ARJ.EXE est un caractère "a", il oblige à ajouter le (s) fichier (s) dans le fichier archive ARJ. Et le virus utilise cette option, il exécute le ARJ.EXE avec un caractère "a" en utilisant la fonction C standard. La chaîne qui est exécutée ressemble à: c: command.com / c arj a .com où est le nom avec l'extension de l'archive ARJ qui a été trouvée, est le quatre octets de longueur sélectionné nom aléatoire décrit ci-dessus. Le commutateur "/ c" provoque COMMAND.COM pour exécuter le programme pointé (ARJ.EXE) et quitte immédiatement. Lors de l'exécution de cette commande, l'archiveur ARJ.EXE compresse et ajoute le ver dans le fichier d'archive trouvé. Ensuite, le virus supprime le fichier temporaire et recherche le fichier ARJ suivant. S'il n'y a pas de fichiers d'archive dans le répertoire en cours, le virus saute au fichier parent. Si le répertoire en cours est le répertoire racine du disque, le virus retourne à DOS. L'une des caractéristiques de cet infecteur est une infection en double. Lors de l'exécution de l'archive, le virus ne vérifie pas la présence du fichier, et comment peut-il le faire? Pour vérifier l'archive à l'intérieur n'est pas une tâche facile, et je vois que l'auteur de ce virus ne l'a pas défini (infection en double) comme un objet. Il a réalisé la nouvelle idée par la manière la plus facile, pas plus. Le virus génère des noms aléatoires des fichiers de ver. Parfois, il peut générer le nom qui est présent dans le fichier ARJ qui est pour l'infection. En conséquence, ce fichier sera écrasé par le virus et le contenu de ce fichier sera perdu. Bien sûr, la probabilité d'exécution du fichier ver augmente dans ce cas. Pour cacher sa propagation, le virus croise INT 10h – l'interruption vidéo. Il le définit à l'instruction IRET qui désactive la sortie standard à l'écran. Cette fonctionnalité cache le virus, mais si des erreurs d'activité virale se produisent, le programme ARJ.EXE ou DOS affichera le message d'erreur (par exemple, "Erreur de protection contre l'écriture du lecteur A:") et attendra la réponse. Mais le virus désactive la sortie, et l'utilisateur ne verra que l'écran vide. Il semble que l'ordinateur raccroche. En passant, la machine DOS virtuelle sous MS-Windows bascule en mode texte plein écran sur l'erreur de protection en écriture, et il est impossible de passer à une autre tâche. Dernière remarque: ce virus contient la courte chaîne de texte interne: * .arj .. 0000.com / c arj ac: command.com
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.DOS.ArjVirus

Détails techniques