CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win16.RedTeam

Classe Virus
Plateforme Win16
Description

Détails techniques

Ce virus infecte les fichiers Windows EXE (NewExe) et s'envoie vers Internet en utilisant Eudora e-mail – c'est le premier virus connu qui infecte Windows et se propage via Internet. Pour infecter des fichiers, le virus reste dans la mémoire de Windows, il infecte alors les fichiers NE qui sont exécutés. Pour infecter le courrier électronique Eudora, le virus analyse le format interne de la base courrier et ajoute des messages "infectés". Le virus ne peut se répandre sur Internet que si le système de messagerie Eudora est installé sur l'ordinateur, mais les destinataires des messages infectés peuvent utiliser n'importe quel système de messagerie standard, et pas seulement Eudora.

Bien sûr, le virus n'est pas capable de s'exécuter automatiquement à partir d'un message infecté. Il n'est pas capable d'infecter le système lorsqu'un message infecté est ouvert et lu. Pour propager le virus, la pièce jointe EXE infectée doit être extraite et exécutée. Pour faire exactement cela (pour extraire et exécuter le fichier joint), le texte du message convainc l'utilisateur.

Le virus n'a pas été trouvé dans la nature, mais être libéré peut apparaître comme un réel danger pour le réseau informatique mondial parce que se propager utilise le système d'exploitation le plus populaire (Windows) et l'un des systèmes de messagerie les plus populaires (Eudora ).

La longueur du code et des données du virus est de 4766 octets. Le virus a été nommé d'après les chaînes de texte présentes dans le corps du virus (elles sont cryptées dans les fichiers infectés):


<< – RED TEAM – >> (C) Le Soul Manager.
Fabriqué en Australie – 06.97.
Donc, donc, Herr Kurtzhals – Est-ce que F / Win est capable de suivre The Red Team?

Infecter le fichier EXE

Tout en infectant les fichiers NewEXE, le virus ne crée pas de nouveau segment – il calcule l'adresse du segment de code, déplace le reste du fichier et s'écrit dans cette cavité. Le virus augmente la taille du segment de code et reste par conséquent comme une partie du code du programme légal. Le virus corrige également les champs nécessaires dans les tables d'en-tête et de relocalisation NE. Le virus modifie alors l'adresse initiale du point d'entrée, ou corrige les adresses des routines du système dans le cas de KRNL286 / 386.EXE.

Lorsqu'un fichier infecté est exécuté dans un environnement non infecté, le virus prend le contrôle et recherche le module Win16 Kernel (KRNL286.EXE ou KRNL386.EXE). Lorsque ce fichier est localisé, le virus s'ouvre et l'infecte. Le virus ne modifie pas l'adresse du point d'entrée, il change les adresses des routines WINEXEC ou INITTASK à la place. Dans le cas de Windows 3.xx le virus définit la nouvelle adresse de la routine WINEXEC, dans le cas de Windows95 / NT, le virus fait de même avec la routine INITTASK (parce que Windows95 / NT n'appelle pas WINEXEC).

Pour séparer les modules KRNL? 86.EXE (Windows 3.xx ou Windows95 / NT) le virus utilise le nom si exporté CALLPROC32W fonction, il présente uniquement en Windows 95 / NT 32 bits.

Le virus renvoie ensuite le contrôle au programme hôte et n'effectue aucune autre action. En conséquence, étant exécuté pour la première fois le virus ne laisse aucun code dans la mémoire du système – il infecte seulement le module Kernel16 de Windows.

Going résident de la mémoire

Lorsque Windows est chargé avec le noyau infecté, le virus reste dans la mémoire système dans le cadre du noyau – aucune action spéciale n'est nécessaire pour le faire car le code du virus est placé dans le même segment de code que les routines du noyau d'origine. Le virus n'effectue pas non plus d'action pour accrocher les événements système car ils étaient déjà accrochés alors que l'infection – adresse de WINEXEC ou INITTASK pointe déjà vers le gestionnaire de virus.

Sous Windows 3.xx, le virus croise WINEXEC, de sorte qu'il infecte les fichiers qui sont exécutés. Le virus le fait d'une manière assez intelligente – il passe immédiatement le contrôle au gestionnaire WINEXEC d'origine et infecte ensuite un fichier en arrière-plan, c'est-à-dire qu'il n'y a pas de délai lorsque les applications sont exécutées dans un environnement infecté. Cela est très important pour le virus, car Windows 3.xx est généralement installé sur un ancien PC lent, et les délais d'exécution peuvent avertir un utilisateur.

Sous Windows95 / NT, le virus se bloque INITTASK, de sorte qu'il intercepte le contrôle lorsque les programmes s'inscrivent dans le système. Le virus puis avec l'aide de la fonction GetExePtr obtient des Handles de module pour toutes les applications NE qui sont actives et les infecte.

Infecting E-mail

Lors de l'infection d'un fichier avec une probabilité 1/8 (en fonction de la clé utilisée pour chiffrer les chaînes de texte), le virus modifie son code afin que ce fichier infecté active une routine qui transfère les messages électroniques infectés vers la boîte d'envoi Eudora. Lorsqu'un tel fichier est exécuté dans le répertoire où sont placées les bases de données Eudora, le virus ouvre les fichiers de données Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. Le premier fichier ("Nick names database") est utilisé par les virus pour obtenir les noms des destinataires auxquels le virus enverra un message infecté. Le message infecté est placé dans OUT.MBX (base de données Outbox) et les références nécessaires sont placées dans le fichier OUT.TOC.

Le message lui-même a un sujet "Red Team", contient le texte et le fichier EXE joint. Le texte ressemble à ceci:


————————————————– ——————–
Hiya!
Je pensais juste vous avertir d'un nouveau virus de courriel destructeur.
Voici quelques informations:
> Le virus "Red Team" est un nouveau virus informatique complexe qui se propage via
> le système d'exploitation Microsoft Windows et Internet E-Mail. Bien que
> ce n'est pas le premier virus à se propager par E-Mail (c'était "Good Times"),
> le virus de l'équipe rouge est inégalé dans ses capacités destructrices.
> En outre, le virus est extrêmement commun – il a déjà été
> signalé dans une grande partie de l'Europe occidentale, aux États-Unis, en Russie, en Australie et
> Japon. En bref, partout.
>
> Chez QUEST, nous avons passé plusieurs semaines à analyser ce virus et sommes fiers
> d'annoncer que nous avons enfin un remède! Le programme, nommé "K-RTEAM"
> (Kill Red Team), peut être exécuté dans n'importe quel environnement Microsoft Windows, et
> détectera de manière fiable (et supprimera si nécessaire) le virus Red Team de
> vos tampons système.
>
> –
> Julia Blumin
> QUALCOMM Enterprise Software Technologies
> World Wide Web: http://www.qualcomm.com
La raison pour laquelle je pensais que je devrais vous avertir, c'est que nous avons récemment eu une course dans
avec cette bête. Heureusement, nous avons réussi à obtenir une copie de l'excellent
Programme "K-RTEAM" avant que la destruction ne commence vraiment. Au cas où
vous devriez subir le même malheur, j'ai inclus ce programme pour
vous aussi.
Au revoir!
PS Assurez-vous d'avertir tous vos amis de cette nouvelle menace!
————————————————– ——————–
Ce texte dans le corps du virus est compressé, ainsi le virus le décompresse avant de l'enregistrer dans la boîte d'envoi d'Eudora. Le fichier EXE attaché a en-tête NE et est nommé comme K-RTEAM.EXE ("Kill Red Team"), il a 6351 octets de longueur. C'est un programme infecté de ne rien faire (le virus le crée sur le lecteur C: C: K-RTEAM.EXE) qui ne propage le virus que sur l'ordinateur. À l'en-tête et à la fin de ce fichier, il y a les chaînes de texte:

K-RTEAM – Red Team Anti-Virus
K-RTEAM
Red Team Virus trouvé!
Supprimer le virus?
Virus enlevé!
Impossible de supprimer le virus!
Le virus n'envoie pas de messages deux fois à partir du même ordinateur infecté. Pour ce faire, le virus crée le fichier RTBASE.TOC lors de l'envoi de messages infectés. La prochaine fois que le virus recherchera ce fichier et terminera la routine d'infection de courrier électronique, si ce fichier se présente dans le répertoire.

En laboratoire

Le virus se répliquait sous Windows 3.xx et n'avait aucun effet secondaire lors des expériences en laboratoire – tous les fichiers étaient infectés correctement, les programmes n'étaient pas corrompus et Windows n'affichait aucun message d'avertissement / d'erreur.

Le virus a également stocké son compte-gouttes dans la boîte d'envoi Eudora sans problème. Les messages infectés ont ensuite été envoyés via Internet et correctement reçus.

Sous Windows95 / NT le virus a un problème – il ne peut pas infecter KRNL386.EXE et par conséquent ne peut pas s'installer lui-même résident en mémoire. Le bug est assez stupide – le virus réserve Word (DW) pour la variable "NE Header Offset", mais l'utilise comme DoubleWord (DD). Le deuxième mot de ce DoubleWord est l'indicateur de version Windows: 0 si Windows3.xx, FFFFh si Windows95 / NT. Donc, sous Windows95 / NT, le virus obtient une valeur erronée de cette variable.

Malgré cela, les fichiers qui ont été infectés sous Windows 3.xx fonctionnent sous Windows 95 / NT sans aucun problème et peuvent infecter la base de données Eudora ainsi que sous Windows 3.xx. En outre, ce bug stupide peut être facilement corrigé et une version compatible Windows95 pourrait être publiée par l'auteur du virus.


Lien vers l'original