Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Virus
Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.Más información
Plataforma: DOS
No platform descriptionDescripción
Detalles técnicos
La familia "Vacsina" (no "VACCINA") y "Yankee" comprende más de 40 virus parásitos benignos que no residen en la memoria. Cada uno de ellos lleva en su cuerpo una etiqueta que consta de tres bytes: F4h, 7Ah, NNh. El tercer byte, NNh, se considera como un número del virus en la familia (número de la versión del virus), y en el futuro se encontrará con los nombres de los virus ("Vacsina.NN" y "Yankee.NN"). Después de la activación, los virus de esta familia escriben los bytes 7Fh, 39h y NNh en la memoria en las direcciones 0000: 00C5, 0000: 00C6, 0000: 00C7. Los virus de la familia se distinguen por recuperar archivos infectados por versiones anteriores de los virus de esa familia y volver a infectarlos. Los virus "Vacsina.NN" contienen la palabra "VACSINA" en sus cuerpos.
Los virus infectan los archivos COM y EXE que se ejecutan (virus de versiones de hasta 26 h) o cargados en la memoria (virus de las versiones 26 y siguientes). Los virus infectan los archivos COM de forma estándar: los virus de las versiones hasta la novena verifican el primer byte en un archivo COM que está infectado. Si este byte no es igual a E9h (JMP), el archivo no se infectará. Los virus de versiones superiores infectan archivos .COM de forma independiente en su primer byte. Aparte de esto, los virus "VACSINA" aumentan la longitud del archivo infectado hasta un párrafo. Las versiones 2A y posteriores añaden 4 bytes adicionales al archivo después de que se ha infectado.
Los virus de versiones anteriores (hasta 23 h) infectan archivos EXE de una manera especial: los archivos se transforman al formato de archivo COM. Para este propósito, el archivo se adjunta con un pequeño fragmento del código de virus (132 bytes) que ajusta las direcciones de acuerdo con la tabla de direcciones al cargar el archivo en la memoria para su ejecución; los primeros tres bytes del archivo (JMP al fragmento) también se modifican. Los 132 bytes anexados al archivo no propagan el virus. Su función es solo ajustar las direcciones del programa después de su ejecución. El archivo procesado de esta manera será ejecutado por el sistema operativo y será infectado por muchos virus como un archivo COM. Como tal, se ejecuta un archivo EXE, el control se transfiere al fragmento de reubicación de direcciones, que verifica la tabla de direcciones en el encabezado del archivo y corrige el programa cargado. Luego, el control se transfiere a la dirección de inicio indicada en el encabezado del archivo.
Los virus enganchan el vector de interrupción 21h. Algunos miembros de la familia "Yankee" enganchan INT 1, 3, 9 y 1Ch.
Los virus producen efectos de sonido: como un archivo está infectado por un virus "VACSINA", se produce una señal de sonido (BELL); los virus "Yankee", dependiendo de algunas condiciones previas (al presionar ALT-Ctrl-Del simultáneamente oa las 5:00 p.m.), reproduce la melodía "Yankee Doodle Dandy". En algunas condiciones, el virus "Vacsina.06" descifra y muestra la cadena: "Az sum vasta lelja".
Hay varios "piquancies" en estos virus: las versiones 18h y superiores determinan el valor inicial del vector de interrupción de 21h (dirección del controlador de interrupción en DOS), y al incorporarlo a los archivos, causa una interrupción en ese valor. De esta forma, los virus evitan los monitores antivirales residentes en la memoria. Para determinar la dirección del manejador de interrupciones, se utiliza el siguiente algoritmo:
- establecer la 01h interrupt (entrada en el rastreo, esta interrupción se llama en modo de depuración después de realizar cada instrucción por el procesador) a la subrutina que determina el verdadero valor del vector de interrupción;
- activar el modo de seguimiento;
- llamar a una interrupción "inofensiva" de la función 21h (desde el punto de vista de los anti-virus residentes en la memoria).
00000 � ... � + ---------------- � �Operando � + ------------------> �sistema � � + ---------------- � � �COMMAND.COM � � INT 21h + ---------------- � + ------------------- �Usuario � ------- Programas, habiendo modificado+ ------------------> �programa � � vector de interrupción 21h � + ---------------- � � � � ... � � � INT 21h + ---------------- � � + ------------------- �Usuario � --- ++ ------------------> �programa � � + ---------------- � � � ... � � + ---------------- � � irusVirus � � INT 21h � ------------- � + ------------------- �Command calling � � interrumpe 21h � ^ � � ------------- � � + ------------> �Programa para � � terminadeterminación de� + ---------------- �vector � + ---------------- � FFFFF � ... �Las versiones 21h y anteriores enganchan las acciones del depurador y, con la condición de que el cuerpo del virus esté depurado, detenga el proceso de depuración. Durante un intento de volcar un archivo infectado bajo el depurador, el archivo "se cura".
La versión 21h y posteriores se codifican por código de bloque lineal y siguen revisando los bytes en su cuerpo. Periódicamente, los virus se controlan por la presencia de modificaciones y las corrigen si es posible.
Las versiones 2Ch y anteriores desactivan la parte residente en memoria del virus "PingPong". Las versiones 2Eh y anteriores toman algunas medidas contra los virus "Cascade".
Modificaciones de "VACSINA" y "Yankee"
Los virus "VACSINA" y "Yankee" son bastante "populares": además de varias docenas de virus "originales", sus mutaciones, en algunos casos copiadas de forma experta del original, han comenzado a surgir. Por lo tanto, en Irkutsk (Rusia), se ha encontrado el virus ("Yankee.1905") que desafía el derecho a ser referido como "Yankee.53". Pero no obstante su número (53h), usa solo una "piquancy" - traza INT 21h."Yankee.1049,1150,1202": son virus de archivos residentes de memoria inofensivos. Infectan los archivos COM y EXE cuando se ejecutan (INT 21h, "Yankee.1049" - ax = 4B00h, "Yankee.1202,1150" - ah = 4Bh). Los virus alteran los primeros 32 bytes de un archivo y se unen a su extremo, y en muchos aspectos, coinciden con los virus "Yankee". El vector 21h es usado.
"Yankee.3045" contiene las cadenas de texto: "LOGIN.EXE SUPERVISOR. HESLO.".
"Yankee.Flip.2167": dependiendo de la fecha del sistema, engancha INT 8, 9 y 10h, y "voltea" la pantalla.
Yankee.2189
Familia "Yankee". Este virus está encriptado, a veces lanza los símbolos '/', '', '-', '|'.Yankee.Estonia.1716
Familia "Yankee". Infecta los archivos COM y EXE, con la excepción de COMMAND.COM, que se ejecutan. Agrega 4 bytes de control a los archivos COM. El lunes a las 2:00 p. M., Descifra y muestra, en el centro de la pantalla, el siguiente mensaje: "Estonia independiente se presenta", luego reproduce una canción y reinicia la computadora.Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com