CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Virus DOS

Virus.DOS.ArjVirus

Classe
Virus
Plateforme
DOS

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Virus

Les virus se répliquent sur les ressources de la machine locale. Contrairement aux vers, les virus n'utilisent pas les services réseau pour propager ou pénétrer d'autres ordinateurs. Une copie d'un virus n'atteindra les ordinateurs distants que si l'objet infecté est, pour une raison quelconque non liée à la fonction virale, activé sur un autre ordinateur. Par exemple: lors de l'infection de disques accessibles, un virus pénètre dans un fichier situé sur une ressource réseau un virus se copie sur un périphérique de stockage amovible ou infecte un fichier sur un périphérique amovible un utilisateur envoie un courrier électronique avec une pièce jointe infectée.

Plus d'informations

Plateforme: DOS

No platform description

Description

Détails techniques

C'est un virus dangereux qui ne réside pas dans la mémoire. Il recherche les fichiers d'archive et les infecte. Heureusement, il ne recherche que le format des archiveurs. Les fichiers d'archive pour l'infection doivent être dans la norme ARJ seulement. Ces archives de fichiers sont le résultat du travail du compresseur ARJ.EXE.

ARJ.EXE est un programme d'archivage qui permet de compresser et de stocker un ou plusieurs fichiers (y compris les sous-répertoires) dans un ou plusieurs fichiers d'archives (en argot - arjive) au format compressé. Ce logiciel est protégé par copyright (c) 1990-1993 par Robert K Jung.

Ce virus, qui est un ver plus qu'un virus DOS standard, a une longueur de 5000 octets. Il met à jour ces fichiers par sa copie (virus). A l'exécution, cet infecteur recherche les fichiers avec l'extension ARJ en utilisant le masque "* .arj" (les fichiers avec l'extension ARJ sont créés par l'utilitaire ARJ.EXE et contiennent les fichiers compressés). Il recherche les fichiers ARJ dans le répertoire actuel et tous les répertoires parents.

Si le fichier d'archive ARJ est trouvé, le virus crée un fichier temporaire avec un nom sélectionné au hasard et une extension COM. Ce nom est composé de quatre lettres de 'A' t0 'V'; la limitation 'V' est parce que ce virus utilise la limite 0Fh pour le numéro de lettre, la 15ème lettre (0Fh) est 'V'. Les noms de résultat ressemble à BHPL.COM, NLJJ.COM, OKPD.COM etc. Ensuite, le virus écrit lui-même (5000 octets) dans ce fichier COM, et pour cacher il ajoute au fichier les octets de la poubelle de longueur sélectionnée aléatoire. Le virus vérifie que la longueur de cette poubelle ne doit pas dépasser la longueur maximale du fichier COM exécutable. La longueur des fichiers de ver de résultat est supérieure à 5000 octets. Les 5000 octets sont la longueur du corps du ver qui est stocké dans le fichier sur toute infection.

Ensuite, le virus insère ce fichier dans l'archive qui a été trouvée. Il le fait de la manière la plus simple - le virus force l'utilitaire ARJ.EXE à le faire. Un des commutateurs ARJ.EXE est un caractère "a", il oblige à ajouter le (s) fichier (s) dans le fichier archive ARJ. Et le virus utilise cette option, il exécute le ARJ.EXE avec un caractère "a" en utilisant la fonction C standard. La chaîne qui est exécutée ressemble à: 

c: command.com / c arj a  .com
est le nom avec l'extension de l'archive ARJ qui a été trouvée, est le quatre octets de longueur sélectionné nom aléatoire décrit ci-dessus. Le commutateur "/ c" provoque COMMAND.COM pour exécuter le programme pointé (ARJ.EXE) et quitte immédiatement.

Lors de l'exécution de cette commande, l'archiveur ARJ.EXE compresse et ajoute le ver dans le fichier d'archive trouvé. Ensuite, le virus supprime le fichier temporaire et recherche le fichier ARJ suivant. S'il n'y a pas de fichiers d'archive dans le répertoire en cours, le virus saute au fichier parent. Si le répertoire en cours est le répertoire racine du disque, le virus retourne à DOS.

L'une des caractéristiques de cet infecteur est une infection en double. Lors de l'exécution de l'archive, le virus ne vérifie pas la présence du fichier, et comment peut-il le faire? Pour vérifier l'archive à l'intérieur n'est pas une tâche facile, et je vois que l'auteur de ce virus ne l'a pas défini (infection en double) comme un objet. Il a réalisé la nouvelle idée par la manière la plus facile, pas plus.

Le virus génère des noms aléatoires des fichiers de ver. Parfois, il peut générer le nom qui est présent dans le fichier ARJ qui est pour l'infection. En conséquence, ce fichier sera écrasé par le virus et le contenu de ce fichier sera perdu. Bien sûr, la probabilité d'exécution du fichier ver augmente dans ce cas.

Pour cacher sa propagation, le virus croise INT 10h - l'interruption vidéo. Il le définit à l'instruction IRET qui désactive la sortie standard à l'écran. Cette fonctionnalité cache le virus, mais si des erreurs d'activité virale se produisent, le programme ARJ.EXE ou DOS affichera le message d'erreur (par exemple, "Erreur de protection contre l'écriture du lecteur A:") et attendra la réponse. Mais le virus désactive la sortie, et l'utilisateur ne verra que l'écran vide. Il semble que l'ordinateur raccroche. En passant, la machine DOS virtuelle sous MS-Windows bascule en mode texte plein écran sur l'erreur de protection en écriture, et il est impossible de passer à une autre tâche. Dernière remarque: ce virus contient la courte chaîne de texte interne: 

* .arj .. 0000.com / c arj ac: command.com

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.