CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win16.CyberTech

Classe Virus
Plateforme Win16
Description

Détails techniques

C'est un virus parasitaire résidant en mémoire très dangereux. Lorsqu'un programme infecté est exécuté, le virus infecte le fichier Windows KERNEL. Quand un KERNEL infecté est exécuté, le virus accroche la fonction WinExec et écrit lui-même à la fin des fichiers NewEXE qui sont exécutés.

Pour infecter le KERNEL, le virus obtient l'accès à ce fichier en utilisant la fonction documentée GetModuleHandle, puis le virus écrit son code dans le fichier KERNEL (KRNL286.EXE ou KRNL386.EXE), et corrige les données système dans ce fichier afin que le adresse de la routine WinExec dans les points KERNEL infectés au code du virus. Ensuite, le virus renvoie le contrôle au fichier hôte NewEXE. Ainsi, lorsque le fichier infecté est exécuté, le virus infecte uniquement le fichier KERNEL.

Lorsque le système avec KERNEL infecté est en cours de chargement, le virus reste résident de la mémoire dans le cadre du code KERNEL, et patché les points d'adresse WinExec au gestionnaire de virus. Lorsqu'un fichier NewEXE est exécuté, le virus l'infecte.

Le virus sépare les fichiers infectés et non infectés en utilisant l'étiquette d'identification "LROY" que le virus écrit dans le champ checksum dans l'en-tête NewEXE lors de l'infection d'un fichier.

Selon la date du système et le numéro du jour, le virus affiche la boîte de message portant le titre:


Chicago 7: Cyber ​​émeute
et les messages à l'intérieur. Le virus affiche différents messages, en avril à partir du 29 et le 1er mai:

Bon anniversaire, Los Angeles!
Anarchistes du monde, unissez-vous!
Chaque vendredi avant le 13 du mois:

Quand la digue se brise, je n'ai pas d'endroit où rester …
(Pleurer ne vous aidera pas, prier ne vous fera pas du bien.)
Le 6 mars et en décembre du 1er au 26:

Sauvez la baleine, harponnez un gros chat.
Après avoir affiché le message, le virus efface les secteurs de disque.

Le virus contient également les chaînes de texte:


USER KERNEL Chicago-7 CyberRiot, le 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren
À venir: émeute de régime. Même arrière-goût: moins d'octets.
Code source disponible pour 15 000 000 $. Demandes sérieuses seulement.
Pourquoi IBM doit-il me licencier? Oh bien, leur perte.
Équation FUD de McAfee: !!!!!! + ?????? = $$$$$$
Convaincre les cochons
Ce programme a été écrit dans les villes de Hambourg, Chicago, Seattle et
Berkeley. Copyright (C) 1993 Klash / Skisme / George J / Phalcon / Henry Buscombe
et 2 ex-Softies, collectivement connus sous le nom de Chicago 7.


Lien vers l'original