Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Virus
Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.Más información
Plataforma: Win16
No platform descriptionDescripción
Detalles técnicos
Este virus infecta los archivos EXE de Windows (NewExe) y se envía a Internet utilizando el correo electrónico de Eudora: es el primer virus conocido que infecta a Windows y se propaga a través de Internet. Para infectar archivos, el virus permanece en la memoria de Windows, luego infecta los archivos NE que se ejecutan. Para infectar el correo electrónico de Eudora, el virus analiza el formato interno de la base de datos de correo y agrega mensajes "infectados". El virus solo se puede propagar a Internet si el sistema de correo electrónico de Eudora está instalado en la computadora, pero los destinatarios de los mensajes infectados pueden usar cualquier sistema de correo electrónico estándar, no solo Eudora.
Por supuesto, el virus no puede ejecutarse automáticamente a partir de un mensaje infectado. No puede infectar el sistema cuando se abre y se lee un mensaje infectado. Para propagar el virus, el archivo adjunto EXE infectado debe ser extraído y ejecutado. Para hacer exactamente eso (para extraer y ejecutar el archivo adjunto), el texto del mensaje convence al usuario.
El virus no se encontró en estado salvaje, pero su lanzamiento puede parecer un peligro real para la red informática mundial porque para propagarse se usa el sistema operativo más popular (Windows) y uno de los sistemas de correo electrónico más populares (Eudora). )
La longitud del código del virus y los datos es de 4766 bytes. El nombre del virus se debe a las cadenas de texto presentes en el cuerpo del virus (están encriptadas en archivos infectados):
<< - RED TEAM - >> (C) The Soul Manager.Hecho en Australia - 06.97.Así que, entonces, Herr Kurtzhals: ¿F / Win puede seguir al Equipo Rojo?
Infecting EXE
Al infectar archivos NewEXE, el virus no crea un nuevo segmento allí: calcula la dirección del segmento de código, mueve el resto del archivo y se escribe en esa cueva. El virus aumenta el tamaño del segmento de código y, como resultado, permanece como parte del código del programa legal. El virus también arregla los campos necesarios en el encabezado NE y en las tablas de reubicación. El virus luego modifica la dirección inicial del punto de entrada, o parche las direcciones de las rutinas del sistema en el caso de KRNL286 / 386.EXE.Cuando un archivo infectado se ejecuta en un entorno no infectado, el virus toma el control y busca el módulo Win16 Kernel (KRNL286.EXE o KRNL386.EXE). Cuando se encuentra este archivo, el virus se abre y lo infecta. El virus no altera la dirección del punto de entrada, sino que cambia las direcciones de las rutinas WINEXEC o INITTASK. En el caso de Windows 3.xx, el virus establece una nueva dirección de rutina WINEXEC, en el caso de Windows95 / NT, el virus hace lo mismo con la rutina INITTASK (porque Windows95 / NT no llama a WINEXEC).
Para separar los módulos KRNL? 86.EXE (Windows 3.xx o Windows95 / NT) el virus usa el nombre si se exporta la función CALLPROC32W, se presenta solo en Windows 95 / NT de 32 bits.
El virus devuelve el control al programa host y no realiza ninguna otra acción. Como resultado, se está ejecutando por primera vez que el virus no deja ningún código en la memoria del sistema, solo infecta el módulo Kernel16 de Windows.
Residente residente en memoria
Cuando Windows se carga con Kernel infectado, el virus permanece en la memoria del sistema como parte de Kernel; no es necesaria ninguna acción especial para hacerlo porque el código de virus se coloca en el mismo segmento de código que las rutinas originales de Kernel. El virus tampoco realiza ninguna acción para enlazar eventos del sistema porque ya estaban enganchados durante la infección: la dirección de WINEXEC o INITTASK ya apunta al controlador de virus.En Windows 3.xx, el virus engancha WINEXEC, por lo que infecta los archivos que se ejecutan. El virus lo hace de una manera bastante inteligente: inmediatamente pasa el control al controlador WINEXEC original y luego infecta un archivo en segundo plano, es decir, no hay ningún retraso cuando la aplicación se ejecuta en un entorno infectado. Eso es bastante importante para el virus porque usualmente Windows 3.xx está instalado en la vieja PC lenta, y las demoras en la ejecución pueden advertir a un usuario.
En Windows95 / NT, el virus engancha INITTASK, por lo que intercepta el control cuando los programas se registran en el sistema. Luego, el virus con la ayuda de la función GetExePtr obtiene los Controles de Módulo para todas las aplicaciones NE que están activas y las infecta.
Infecting E-mail
Al infectar un archivo con probabilidad 1/8 (dependiendo de la clave que se usa para encriptar cadenas de texto), el virus modifica su código para que este archivo infectado activará una rutina que envía mensajes de correo electrónico infectados a la bandeja de salida de Eudora. Cuando dicho archivo se ejecuta en el directorio donde se ubican las bases de datos de Eudora, el virus abre los archivos de datos de Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. El virus utiliza el primer archivo ("base de datos de nombres de Nick") para obtener los nombres de los destinatarios a los que el virus enviará un mensaje infectado. El mensaje infectado se coloca en OUT.MBX (base de datos de la Bandeja de salida) y las referencias necesarias se colocan en el archivo OUT.TOC.El mensaje en sí tiene un asunto "Equipo rojo", contiene el texto y el archivo EXE adjunto. El texto se ve de la siguiente manera:
-------------------------------------------------- --------------------¡Hola!Solo pensé en advertirle acerca de un nuevo y destructivo virus de correo electrónico.Aquí hay algo de información:> El virus "Red Team" es un nuevo virus informático complejo que se propaga a través de> el sistema operativo Microsoft Windows y el correo electrónico de Internet. A pesar de que> no es el primer virus que se propaga a través del correo electrónico (que era "buenos tiempos"),> el virus Red Team está sin paralizar en sus capacidades destructivas.> Además, el virus es extremadamente común, ya ha sido> informado en gran parte de Europa occidental, los EE. UU., Rusia, Australia y> Japón. En resumen, en todas partes.>> Nosotros en QUEST, hemos pasado varias semanas analizando este virus, y estamos orgullosos> anunciar que finalmente tenemos una cura! El programa, llamado "K-RTEAM"> (Kill Red Team), se puede ejecutar en cualquier entorno de Microsoft Windows, y> detectará de forma fiable (y eliminará si es necesario) el virus Red Team de> su sistema almacena en búfer.>> -> Julia Blumin> Tecnologías de software QUALCOMM Enterprise> World Wide Web: http://www.qualcomm.comLa razón por la que pensé que debería advertirte, es que recientemente tuvimos una carrera encon esta bestia Afortunadamente, logramos obtener una copia del excelenteEl programa 'K-RTEAM' antes de la destrucción realmente comenzó. Por si acasodeberías sufrir la misma desgracia, he incluido este programa paraigualmente.¡Adiós!PD ¡Asegúrate de advertir a todos tus amigos de esta nueva amenaza!-------------------------------------------------- --------------------Este texto en el cuerpo del virus está comprimido, por lo que el virus lo descomprime antes de guardarlo en la bandeja de salida de Eudora. El archivo EXE adjunto tiene encabezado NE y se denomina K-RTEAM.EXE ("Kill Red Team"), tiene 6351 bytes de longitud. Es un programa infectado que no hace nada (el virus lo crea en la unidad C: C: K-RTEAM.EXE) que solo propaga el virus en la computadora. En el encabezado y el final de este archivo están las cadenas de texto:
K-RTEAM - Red Team Anti-VirusK-RTEAM¡Se encontró el virus rojo del equipo!Eliminar virus?¡Virus eliminado!No se pudo eliminar el virus!El virus no envía mensajes dos veces desde la misma computadora infectada. Para hacer eso, el virus crea el archivo RTBASE.TOC al enviar mensajes infectados. La próxima vez el virus buscará ese archivo y finalizará la rutina de infección de correo electrónico, si este archivo se presenta en el directorio.
En el laboratorio
El virus se replica en Windows 3.xx y no tuvo efectos secundarios durante los experimentos en el laboratorio: todos los archivos se infectaron correctamente, los programas no se dañaron y Windows no mostró ningún mensaje de advertencia / error.El virus también almacenó su cuentagotas en la bandeja de salida de Eudora sin problemas. Los mensajes infectados se enviaron a través de Internet y se recibieron correctamente.
En Windows95 / NT, el virus tiene un problema: no puede infectar KRNL386.EXE y, como resultado, no puede instalarse residente en memoria. El error es bastante estúpido: el virus se reserva Word (DW) para la variable "NE Encabezado de compensación", pero lo usa como DoubleWord (DD). La segunda palabra de ese DoubleWord es el indicador de versión de Windows: 0 si Windows3.xx, FFFFh si Windows95 / NT. Entonces, en Windows95 / NT, el virus obtiene el valor incorrecto de esa variable.
A pesar de esto, los archivos infectados con Windows 3.xx funcionan sin problemas bajo Windows95 / NT y pueden infectar la base de datos de Eudora y Windows 3.xx. Además, ese error estúpido se puede solucionar fácilmente y el autor del virus puede lanzar una versión compatible con Windows95.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com