Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-IM
Предназначены для кражи учетных записей пользователей (логин и пароль) интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.Подробнее
Платформа: Win16
No platform descriptionОписание
Technical Details
Неопасные резидентные зашифрованные стелс вирусы-черви. При запуске выводят сообщения:
"Worm.Info.2142":
-*- INFOSYSTEM -*- version 1.04 (C) 1995 by Ziff Co. Reading System Information... Computer type: IBM PC
"Worm.Info.2191":
InfoSystem version1.01 Reading System Information... Computer type: IBM PC
"Worm.Info.2259":
Reading System Information... Computer type: IBM PC
Затем вирусы действительно проверяют тип компьютера и добавляют одну из строк:
Original XT AT Convertible PS/2 Junior Unknown
После этого вирус выводит текст:
Checking HDD controller... SCSI controller type: Unknown (Error14)
и вызывает процедуру заражения компьютера. При заражении вирус ищет каталоги, отмеченные в строке PATH, создает там файлы с именем INFO.COM и записывает свою копию в эти файлы. Затем вирус ищет BAT-файлы и записывает в их начало команды:
@if not exist info.com goto noinfo @info>nul :noinfo
При запуске такие BAT-файлы выполняют файл INFO.COM (т.е. вирус). Затем вирус копирует свой код в UMB, HMA или обычную память, перехватывает INT 1Ch, 21h и заражает текущие каталоги при вызове DOS-функций FindFirst (AH=11h,4Eh). При обращении к измененным BAT-файлам и при вызовах FindFirst/Next вирус вызывает "стелс"-процедуру. Проверяет имена запускаемых файлов и при запуске CHDDSK, WEB или DRWEB отключает часть своих "стелс"-функций. Используя вызовы INT 1Ch, вирус постоянно проверяет наличие трассировки (INT 1Ch) и блокирует ее. По пятницам, приходящимся на 13-е число, вирус как-то меняет содержимое VGA-портов. Содержит также строки:
COMMAND NET?.CHKDSK.WEB.DRWEB.INFO.COM ATH=*.BAT
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com