Kaspersky Threats — CyberTech

Classe

Plateforme

Description

Détails techniques

C'est un virus parasitaire résidant en mémoire très dangereux. Lorsqu'un programme infecté est exécuté, le virus infecte le fichier Windows KERNEL. Quand un KERNEL infecté est exécuté, le virus accroche la fonction WinExec et écrit lui-même à la fin des fichiers NewEXE qui sont exécutés.

Pour infecter le KERNEL, le virus obtient l'accès à ce fichier en utilisant la fonction documentée GetModuleHandle, puis le virus écrit son code dans le fichier KERNEL (KRNL286.EXE ou KRNL386.EXE), et corrige les données système dans ce fichier afin que le adresse de la routine WinExec dans les points KERNEL infectés au code du virus. Ensuite, le virus renvoie le contrôle au fichier hôte NewEXE. Ainsi, lorsque le fichier infecté est exécuté, le virus infecte uniquement le fichier KERNEL.

Lorsque le système avec KERNEL infecté est en cours de chargement, le virus reste résident de la mémoire dans le cadre du code KERNEL, et patché les points d'adresse WinExec au gestionnaire de virus. Lorsqu'un fichier NewEXE est exécuté, le virus l'infecte.

Le virus sépare les fichiers infectés et non infectés en utilisant l'étiquette d'identification "LROY" que le virus écrit dans le champ checksum dans l'en-tête NewEXE lors de l'infection d'un fichier.

Selon la date du système et le numéro du jour, le virus affiche la boîte de message portant le titre:

Chicago 7: Cyber émeute

et les messages à l'intérieur. Le virus affiche différents messages, en avril à partir du 29 et le 1er mai:

Bon anniversaire, Los Angeles!Anarchistes du monde, unissez-vous!

Chaque vendredi avant le 13 du mois:

Quand la digue se brise, je n'ai pas d'endroit où rester …(Pleurer ne vous aidera pas, prier ne vous fera pas du bien.)

Le 6 mars et en décembre du 1er au 26:

Sauvez la baleine, harponnez un gros chat.

Après avoir affiché le message, le virus efface les secteurs de disque.

Le virus contient également les chaînes de texte:

USER KERNEL Chicago-7 CyberRiot, le 15.1.1993 Klash (Werner L.)Sommer 1993: 15 WindowscomputervirenÀ venir: émeute de régime. Même arrière-goût: moins d'octets.Code source disponible pour 15 000 000 $. Demandes sérieuses seulement.Pourquoi IBM doit-il me licencier? Oh bien, leur perte.Équation FUD de McAfee: !!!!!! + ?????? = $$$$$$Convaincre les cochonsCe programme a été écrit dans les villes de Hambourg, Chicago, Seattle etBerkeley. Copyright (C) 1993 Klash / Skisme / George J / Phalcon / Henry Buscombeet 2 ex-Softies, collectivement connus sous le nom de Chicago 7.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	Win16
Description	Détails techniques C'est un virus parasitaire résidant en mémoire très dangereux. Lorsqu'un programme infecté est exécuté, le virus infecte le fichier Windows KERNEL. Quand un KERNEL infecté est exécuté, le virus accroche la fonction WinExec et écrit lui-même à la fin des fichiers NewEXE qui sont exécutés. Pour infecter le KERNEL, le virus obtient l'accès à ce fichier en utilisant la fonction documentée GetModuleHandle, puis le virus écrit son code dans le fichier KERNEL (KRNL286.EXE ou KRNL386.EXE), et corrige les données système dans ce fichier afin que le adresse de la routine WinExec dans les points KERNEL infectés au code du virus. Ensuite, le virus renvoie le contrôle au fichier hôte NewEXE. Ainsi, lorsque le fichier infecté est exécuté, le virus infecte uniquement le fichier KERNEL. Lorsque le système avec KERNEL infecté est en cours de chargement, le virus reste résident de la mémoire dans le cadre du code KERNEL, et patché les points d'adresse WinExec au gestionnaire de virus. Lorsqu'un fichier NewEXE est exécuté, le virus l'infecte. Le virus sépare les fichiers infectés et non infectés en utilisant l'étiquette d'identification "LROY" que le virus écrit dans le champ checksum dans l'en-tête NewEXE lors de l'infection d'un fichier. Selon la date du système et le numéro du jour, le virus affiche la boîte de message portant le titre: Chicago 7: Cyber émeute et les messages à l'intérieur. Le virus affiche différents messages, en avril à partir du 29 et le 1er mai: Bon anniversaire, Los Angeles!Anarchistes du monde, unissez-vous! Chaque vendredi avant le 13 du mois: Quand la digue se brise, je n'ai pas d'endroit où rester …(Pleurer ne vous aidera pas, prier ne vous fera pas du bien.) Le 6 mars et en décembre du 1er au 26: Sauvez la baleine, harponnez un gros chat. Après avoir affiché le message, le virus efface les secteurs de disque. Le virus contient également les chaînes de texte: USER KERNEL Chicago-7 CyberRiot, le 15.1.1993 Klash (Werner L.)Sommer 1993: 15 WindowscomputervirenÀ venir: émeute de régime. Même arrière-goût: moins d'octets.Code source disponible pour 15 000 000 $. Demandes sérieuses seulement.Pourquoi IBM doit-il me licencier? Oh bien, leur perte.Équation FUD de McAfee: !!!!!! + ?????? = $$$$$$Convaincre les cochonsCe programme a été écrit dans les villes de Hambourg, Chicago, Seattle etBerkeley. Copyright (C) 1993 Klash / Skisme / George J / Phalcon / Henry Buscombeet 2 ex-Softies, collectivement connus sous le nom de Chicago 7.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.Win16.CyberTech

Détails techniques