Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este virus infecta los archivos EXE de Windows (NewExe) y se envía a Internet utilizando el correo electrónico de Eudora: es el primer virus conocido que infecta a Windows y se propaga a través de Internet. Para infectar archivos, el virus permanece en la memoria de Windows, luego infecta los archivos NE que se ejecutan. Para infectar el correo electrónico de Eudora, el virus analiza el formato interno de la base de datos de correo y agrega mensajes "infectados". El virus solo se puede propagar a Internet si el sistema de correo electrónico de Eudora está instalado en la computadora, pero los destinatarios de los mensajes infectados pueden usar cualquier sistema de correo electrónico estándar, no solo Eudora.

Por supuesto, el virus no puede ejecutarse automáticamente a partir de un mensaje infectado. No puede infectar el sistema cuando se abre y se lee un mensaje infectado. Para propagar el virus, el archivo adjunto EXE infectado debe ser extraído y ejecutado. Para hacer exactamente eso (para extraer y ejecutar el archivo adjunto), el texto del mensaje convence al usuario.

El virus no se encontró en estado salvaje, pero su lanzamiento puede parecer un peligro real para la red informática mundial porque para propagarse se usa el sistema operativo más popular (Windows) y uno de los sistemas de correo electrónico más populares (Eudora). )

La longitud del código del virus y los datos es de 4766 bytes. El nombre del virus se debe a las cadenas de texto presentes en el cuerpo del virus (están encriptadas en archivos infectados):



<< – RED TEAM – >> (C) The Soul Manager.

Hecho en Australia – 06.97.

Así que, entonces, Herr Kurtzhals: ¿F / Win puede seguir al Equipo Rojo?

Infecting EXE

Al infectar archivos NewEXE, el virus no crea un nuevo segmento allí: calcula la dirección del segmento de código, mueve el resto del archivo y se escribe en esa cueva. El virus aumenta el tamaño del segmento de código y, como resultado, permanece como parte del código del programa legal. El virus también arregla los campos necesarios en el encabezado NE y en las tablas de reubicación. El virus luego modifica la dirección inicial del punto de entrada, o parche las direcciones de las rutinas del sistema en el caso de KRNL286 / 386.EXE.

Cuando un archivo infectado se ejecuta en un entorno no infectado, el virus toma el control y busca el módulo Win16 Kernel (KRNL286.EXE o KRNL386.EXE). Cuando se encuentra este archivo, el virus se abre y lo infecta. El virus no altera la dirección del punto de entrada, sino que cambia las direcciones de las rutinas WINEXEC o INITTASK. En el caso de Windows 3.xx, el virus establece una nueva dirección de rutina WINEXEC, en el caso de Windows95 / NT, el virus hace lo mismo con la rutina INITTASK (porque Windows95 / NT no llama a WINEXEC).

Para separar los módulos KRNL? 86.EXE (Windows 3.xx o Windows95 / NT) el virus usa el nombre si se exporta la función CALLPROC32W, se presenta solo en Windows 95 / NT de 32 bits.

El virus devuelve el control al programa host y no realiza ninguna otra acción. Como resultado, se está ejecutando por primera vez que el virus no deja ningún código en la memoria del sistema, solo infecta el módulo Kernel16 de Windows.

Residente residente en memoria

Cuando Windows se carga con Kernel infectado, el virus permanece en la memoria del sistema como parte de Kernel; no es necesaria ninguna acción especial para hacerlo porque el código de virus se coloca en el mismo segmento de código que las rutinas originales de Kernel. El virus tampoco realiza ninguna acción para enlazar eventos del sistema porque ya estaban enganchados durante la infección: la dirección de WINEXEC o INITTASK ya apunta al controlador de virus.

En Windows 3.xx, el virus engancha WINEXEC, por lo que infecta los archivos que se ejecutan. El virus lo hace de una manera bastante inteligente: inmediatamente pasa el control al controlador WINEXEC original y luego infecta un archivo en segundo plano, es decir, no hay ningún retraso cuando la aplicación se ejecuta en un entorno infectado. Eso es bastante importante para el virus porque usualmente Windows 3.xx está instalado en la vieja PC lenta, y las demoras en la ejecución pueden advertir a un usuario.

En Windows95 / NT, el virus engancha INITTASK, por lo que intercepta el control cuando los programas se registran en el sistema. Luego, el virus con la ayuda de la función GetExePtr obtiene los Controles de Módulo para todas las aplicaciones NE que están activas y las infecta.

Infecting E-mail

Al infectar un archivo con probabilidad 1/8 (dependiendo de la clave que se usa para encriptar cadenas de texto), el virus modifica su código para que este archivo infectado activará una rutina que envía mensajes de correo electrónico infectados a la bandeja de salida de Eudora. Cuando dicho archivo se ejecuta en el directorio donde se ubican las bases de datos de Eudora, el virus abre los archivos de datos de Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. El virus utiliza el primer archivo ("base de datos de nombres de Nick") para obtener los nombres de los destinatarios a los que el virus enviará un mensaje infectado. El mensaje infectado se coloca en OUT.MBX (base de datos de la Bandeja de salida) y las referencias necesarias se colocan en el archivo OUT.TOC.

El mensaje en sí tiene un asunto "Equipo rojo", contiene el texto y el archivo EXE adjunto. El texto se ve de la siguiente manera:



————————————————– ——————–

¡Hola!

Solo pensé en advertirle acerca de un nuevo y destructivo virus de correo electrónico.

Aquí hay algo de información:

> El virus "Red Team" es un nuevo virus informático complejo que se propaga a través de

> el sistema operativo Microsoft Windows y el correo electrónico de Internet. A pesar de que

> no es el primer virus que se propaga a través del correo electrónico (que era "buenos tiempos"),

> el virus Red Team está sin paralizar en sus capacidades destructivas.

> Además, el virus es extremadamente común, ya ha sido

> informado en gran parte de Europa occidental, los EE. UU., Rusia, Australia y

> Japón. En resumen, en todas partes.

>

> Nosotros en QUEST, hemos pasado varias semanas analizando este virus, y estamos orgullosos

> anunciar que finalmente tenemos una cura! El programa, llamado "K-RTEAM"

> (Kill Red Team), se puede ejecutar en cualquier entorno de Microsoft Windows, y

> detectará de forma fiable (y eliminará si es necesario) el virus Red Team de

> su sistema almacena en búfer.

>

> –

> Julia Blumin

> Tecnologías de software QUALCOMM Enterprise

> World Wide Web: http://www.qualcomm.com

La razón por la que pensé que debería advertirte, es que recientemente tuvimos una carrera en

con esta bestia Afortunadamente, logramos obtener una copia del excelente

El programa 'K-RTEAM' antes de la destrucción realmente comenzó. Por si acaso

deberías sufrir la misma desgracia, he incluido este programa para

igualmente.

¡Adiós!

PD ¡Asegúrate de advertir a todos tus amigos de esta nueva amenaza!

————————————————– ——————–

Este texto en el cuerpo del virus está comprimido, por lo que el virus lo descomprime antes de guardarlo en la bandeja de salida de Eudora. El archivo EXE adjunto tiene encabezado NE y se denomina K-RTEAM.EXE ("Kill Red Team"), tiene 6351 bytes de longitud. Es un programa infectado que no hace nada (el virus lo crea en la unidad C: C: K-RTEAM.EXE) que solo propaga el virus en la computadora. En el encabezado y el final de este archivo están las cadenas de texto:



K-RTEAM – Red Team Anti-Virus

K-RTEAM

¡Se encontró el virus rojo del equipo!

Eliminar virus?

¡Virus eliminado!

No se pudo eliminar el virus!

El virus no envía mensajes dos veces desde la misma computadora infectada. Para hacer eso, el virus crea el archivo RTBASE.TOC al enviar mensajes infectados. La próxima vez el virus buscará ese archivo y finalizará la rutina de infección de correo electrónico, si este archivo se presenta en el directorio.

En el laboratorio

El virus se replica en Windows 3.xx y no tuvo efectos secundarios durante los experimentos en el laboratorio: todos los archivos se infectaron correctamente, los programas no se dañaron y Windows no mostró ningún mensaje de advertencia / error.

El virus también almacenó su cuentagotas en la bandeja de salida de Eudora sin problemas. Los mensajes infectados se enviaron a través de Internet y se recibieron correctamente.

En Windows95 / NT, el virus tiene un problema: no puede infectar KRNL386.EXE y, como resultado, no puede instalarse residente en memoria. El error es bastante estúpido: el virus se reserva Word (DW) para la variable "NE Encabezado de compensación", pero lo usa como DoubleWord (DD). La segunda palabra de ese DoubleWord es el indicador de versión de Windows: 0 si Windows3.xx, FFFFh si Windows95 / NT. Entonces, en Windows95 / NT, el virus obtiene el valor incorrecto de esa variable.

A pesar de esto, los archivos infectados con Windows 3.xx funcionan sin problemas bajo Windows95 / NT y pueden infectar la base de datos de Eudora y Windows 3.xx. Además, ese error estúpido se puede solucionar fácilmente y el autor del virus puede lanzar una versión compatible con Windows95.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	Win16
Descripción	Detalles técnicos Este virus infecta los archivos EXE de Windows (NewExe) y se envía a Internet utilizando el correo electrónico de Eudora: es el primer virus conocido que infecta a Windows y se propaga a través de Internet. Para infectar archivos, el virus permanece en la memoria de Windows, luego infecta los archivos NE que se ejecutan. Para infectar el correo electrónico de Eudora, el virus analiza el formato interno de la base de datos de correo y agrega mensajes "infectados". El virus solo se puede propagar a Internet si el sistema de correo electrónico de Eudora está instalado en la computadora, pero los destinatarios de los mensajes infectados pueden usar cualquier sistema de correo electrónico estándar, no solo Eudora. Por supuesto, el virus no puede ejecutarse automáticamente a partir de un mensaje infectado. No puede infectar el sistema cuando se abre y se lee un mensaje infectado. Para propagar el virus, el archivo adjunto EXE infectado debe ser extraído y ejecutado. Para hacer exactamente eso (para extraer y ejecutar el archivo adjunto), el texto del mensaje convence al usuario. El virus no se encontró en estado salvaje, pero su lanzamiento puede parecer un peligro real para la red informática mundial porque para propagarse se usa el sistema operativo más popular (Windows) y uno de los sistemas de correo electrónico más populares (Eudora). ) La longitud del código del virus y los datos es de 4766 bytes. El nombre del virus se debe a las cadenas de texto presentes en el cuerpo del virus (están encriptadas en archivos infectados): << – RED TEAM – >> (C) The Soul Manager. Hecho en Australia – 06.97. Así que, entonces, Herr Kurtzhals: ¿F / Win puede seguir al Equipo Rojo? Infecting EXE Al infectar archivos NewEXE, el virus no crea un nuevo segmento allí: calcula la dirección del segmento de código, mueve el resto del archivo y se escribe en esa cueva. El virus aumenta el tamaño del segmento de código y, como resultado, permanece como parte del código del programa legal. El virus también arregla los campos necesarios en el encabezado NE y en las tablas de reubicación. El virus luego modifica la dirección inicial del punto de entrada, o parche las direcciones de las rutinas del sistema en el caso de KRNL286 / 386.EXE. Cuando un archivo infectado se ejecuta en un entorno no infectado, el virus toma el control y busca el módulo Win16 Kernel (KRNL286.EXE o KRNL386.EXE). Cuando se encuentra este archivo, el virus se abre y lo infecta. El virus no altera la dirección del punto de entrada, sino que cambia las direcciones de las rutinas WINEXEC o INITTASK. En el caso de Windows 3.xx, el virus establece una nueva dirección de rutina WINEXEC, en el caso de Windows95 / NT, el virus hace lo mismo con la rutina INITTASK (porque Windows95 / NT no llama a WINEXEC). Para separar los módulos KRNL? 86.EXE (Windows 3.xx o Windows95 / NT) el virus usa el nombre si se exporta la función CALLPROC32W, se presenta solo en Windows 95 / NT de 32 bits. El virus devuelve el control al programa host y no realiza ninguna otra acción. Como resultado, se está ejecutando por primera vez que el virus no deja ningún código en la memoria del sistema, solo infecta el módulo Kernel16 de Windows. Residente residente en memoria Cuando Windows se carga con Kernel infectado, el virus permanece en la memoria del sistema como parte de Kernel; no es necesaria ninguna acción especial para hacerlo porque el código de virus se coloca en el mismo segmento de código que las rutinas originales de Kernel. El virus tampoco realiza ninguna acción para enlazar eventos del sistema porque ya estaban enganchados durante la infección: la dirección de WINEXEC o INITTASK ya apunta al controlador de virus. En Windows 3.xx, el virus engancha WINEXEC, por lo que infecta los archivos que se ejecutan. El virus lo hace de una manera bastante inteligente: inmediatamente pasa el control al controlador WINEXEC original y luego infecta un archivo en segundo plano, es decir, no hay ningún retraso cuando la aplicación se ejecuta en un entorno infectado. Eso es bastante importante para el virus porque usualmente Windows 3.xx está instalado en la vieja PC lenta, y las demoras en la ejecución pueden advertir a un usuario. En Windows95 / NT, el virus engancha INITTASK, por lo que intercepta el control cuando los programas se registran en el sistema. Luego, el virus con la ayuda de la función GetExePtr obtiene los Controles de Módulo para todas las aplicaciones NE que están activas y las infecta. Infecting E-mail Al infectar un archivo con probabilidad 1/8 (dependiendo de la clave que se usa para encriptar cadenas de texto), el virus modifica su código para que este archivo infectado activará una rutina que envía mensajes de correo electrónico infectados a la bandeja de salida de Eudora. Cuando dicho archivo se ejecuta en el directorio donde se ubican las bases de datos de Eudora, el virus abre los archivos de datos de Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. El virus utiliza el primer archivo ("base de datos de nombres de Nick") para obtener los nombres de los destinatarios a los que el virus enviará un mensaje infectado. El mensaje infectado se coloca en OUT.MBX (base de datos de la Bandeja de salida) y las referencias necesarias se colocan en el archivo OUT.TOC. El mensaje en sí tiene un asunto "Equipo rojo", contiene el texto y el archivo EXE adjunto. El texto se ve de la siguiente manera: ————————————————– ——————– ¡Hola! Solo pensé en advertirle acerca de un nuevo y destructivo virus de correo electrónico. Aquí hay algo de información: > El virus "Red Team" es un nuevo virus informático complejo que se propaga a través de > el sistema operativo Microsoft Windows y el correo electrónico de Internet. A pesar de que > no es el primer virus que se propaga a través del correo electrónico (que era "buenos tiempos"), > el virus Red Team está sin paralizar en sus capacidades destructivas. > Además, el virus es extremadamente común, ya ha sido > informado en gran parte de Europa occidental, los EE. UU., Rusia, Australia y > Japón. En resumen, en todas partes. > > Nosotros en QUEST, hemos pasado varias semanas analizando este virus, y estamos orgullosos > anunciar que finalmente tenemos una cura! El programa, llamado "K-RTEAM" > (Kill Red Team), se puede ejecutar en cualquier entorno de Microsoft Windows, y > detectará de forma fiable (y eliminará si es necesario) el virus Red Team de > su sistema almacena en búfer. > > – > Julia Blumin > Tecnologías de software QUALCOMM Enterprise > World Wide Web: http://www.qualcomm.com La razón por la que pensé que debería advertirte, es que recientemente tuvimos una carrera en con esta bestia Afortunadamente, logramos obtener una copia del excelente El programa 'K-RTEAM' antes de la destrucción realmente comenzó. Por si acaso deberías sufrir la misma desgracia, he incluido este programa para igualmente. ¡Adiós! PD ¡Asegúrate de advertir a todos tus amigos de esta nueva amenaza! ————————————————– ——————– Este texto en el cuerpo del virus está comprimido, por lo que el virus lo descomprime antes de guardarlo en la bandeja de salida de Eudora. El archivo EXE adjunto tiene encabezado NE y se denomina K-RTEAM.EXE ("Kill Red Team"), tiene 6351 bytes de longitud. Es un programa infectado que no hace nada (el virus lo crea en la unidad C: C: K-RTEAM.EXE) que solo propaga el virus en la computadora. En el encabezado y el final de este archivo están las cadenas de texto: K-RTEAM – Red Team Anti-Virus K-RTEAM ¡Se encontró el virus rojo del equipo! Eliminar virus? ¡Virus eliminado! No se pudo eliminar el virus! El virus no envía mensajes dos veces desde la misma computadora infectada. Para hacer eso, el virus crea el archivo RTBASE.TOC al enviar mensajes infectados. La próxima vez el virus buscará ese archivo y finalizará la rutina de infección de correo electrónico, si este archivo se presenta en el directorio. En el laboratorio El virus se replica en Windows 3.xx y no tuvo efectos secundarios durante los experimentos en el laboratorio: todos los archivos se infectaron correctamente, los programas no se dañaron y Windows no mostró ningún mensaje de advertencia / error. El virus también almacenó su cuentagotas en la bandeja de salida de Eudora sin problemas. Los mensajes infectados se enviaron a través de Internet y se recibieron correctamente. En Windows95 / NT, el virus tiene un problema: no puede infectar KRNL386.EXE y, como resultado, no puede instalarse residente en memoria. El error es bastante estúpido: el virus se reserva Word (DW) para la variable "NE Encabezado de compensación", pero lo usa como DoubleWord (DD). La segunda palabra de ese DoubleWord es el indicador de versión de Windows: 0 si Windows3.xx, FFFFh si Windows95 / NT. Entonces, en Windows95 / NT, el virus obtiene el valor incorrecto de esa variable. A pesar de esto, los archivos infectados con Windows 3.xx funcionan sin problemas bajo Windows95 / NT y pueden infectar la base de datos de Eudora y Windows 3.xx. Además, ese error estúpido se puede solucionar fácilmente y el autor del virus puede lanzar una versión compatible con Windows95.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.Win16.RedTeam

Detalles técnicos

Infecting EXE

Residente residente en memoria

Infecting E-mail

En el laboratorio