Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: BAT
No platform descriptionОписание
Technical Details
BAT.Batalia1
Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.Также создает и запускает временный COM-файл (для того чтобы иметь доступ к DOS-функциям INT 21h).
Содержит строки:
"BATalia v 1.0" Written by Int O`Dream at 04.11.95
(Original algoritm)
BAT.Batalia2
Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.Содержит строки:
BATalia2
BAT.Batalia3
Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS:
@echo offВторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительные файлы:
rem YYY
arj x %0 -gооbеpс >nul
ren p Int
call i
ren Int a.bat
echo on
@call a
@echo off
del i.bat
del a.bat
del BATalia3
P, BATALIA3BATALIA3 содержит вспомогательные данные вируса, файл P содержит код файла-носителя.
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и BATALIA3 из архива и запускают I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Пакует заражаемый файл в архив и результат записывает вместо заражаемого файла, т.е. при заражении может уменьшать размер файлов.
BAT.Batalia4
Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS:
@echo offВторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительный файл SG, который содержит вспомогательные данные вируса.
rem BAT4
arj x %0 >nul
call i
del sg
del i.bat
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и SG из архива и запускает I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Дописывает свой код (6 batch-команд и ARJ-архив) в конец файла.
BAT.Batalia6
Безобидный нерезидентный полиморфный BAT-вирус. При запуске ищет BAT-файлы и заражает их. При заражении файлов вирус использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.Зараженный файл состоит из двух частей. Первая часть (заголовок) содержит пять команд DOS (см. ниже). Вторая часть содержит BAT-файл со случайным именем, упакованный архиватором ARJ. Таким образом, вирус содержит строки текста (команды DOS) и данные (архив ARJ).
BAT-файл из ARJ-архива в свою очередь содержит команды DOS и еще один ARJ-архив. Команды DOS этого BAT-файла являются основным кодом вируса, который вызывает процедуры поиска файлов, заражения и генерации полиморфик-кода. ARJ-архив содержит несколько файлов: файл-носитель, дополнительный код и данные вируса.
В результате зараженный файл выглядит как архив в архиве:
+--------------------+ |BAT-команды | - "заголовок-1", startup-код |--------------------| | ARJ-архив: | - содержит BAT-файл со случайным именем | +----------------+ | | |BAT-команды | | - "заголовок-2", основной код вируса | |----------------| | | | ARJ-архив: | | - содержит набор файлов: | | +------------+ | | | | |BATALIA6.BAT| | | - процедуры поиска и заражения, полиморфик-генератор | | |hostfile.BAT| | | - файл-носитель | | |ZAGL | | | - данные вируса | | |RULZ | | | - данные вируса | | |FINAL.BAT | | | - процедура уничтожения временных файлов | | +------------+ | | | +----------------+ | +--------------------+"Заголовок-1" содержит пять команд, которые при заражении выбираются из нескольких вариантов и имеют различные длины, например:
@echo off
rem arj e %0 %compec% -g5
C:COMMAND.COM nul /carj x %0 -g2
:nul arj x %0 -g7 C:COMMAND.COM
w HOST.BAT
@EcHo OfFARJ-архив зашифрован со случайным паролем, поэтому вирус практически не содержит постоянных байт и является первым известным полиморфным BAT-вирусом. При запуске вирус ("заголовок-1") запускает архиватор ARJ, распаковывает свою вторую часть (BAT-файл) и запускает её. Код второй части создает временный подкаталог, в который распаковывает файлы из второго архива, выполняет процедуры поиска и заражения файлов, затем запускает файл-носитель и уничтожает временные файлы и подкаталог. Код вируса содержит только текстовые строки, среди которых присутствуют комментарии:
rem COMMAND.COM nul /carj x %0 -g1
%comspec% nul /c arj e HOST.BAT -g3
:echo C:COMMAND.COM nul /carj x %0
i HOST.BAT
: Death Virii Crew & Stealth Group World Wide : P R E S E N T S : First Mutation Engine for BAT ! : Without ASM ! : [BATalia6] & FMEB (c) by Reminder : // ## # : +-------- /// ------+ ### Magazine # for VirMakers : |+++-++- // // -+-+++| ### ################ # ################### # ######## : |++ | | ///// | | ||| ## ### ### ### ### ### ### ### # # ### # ### ### : |++ - + ///// ++- ++| # # # ## ## # # ## # # # # # # # # # : +------ // // -------+ # # # # ### ### # ### ### ## ### # ### #### : GROUP // // WORLDWIDE # ################# ############################### : : Box 10, Kiev 252148 : Box 15, Moscow 125080 : Box 11, Lutsk 263020 : : R E A D I N F E C T E D V O I C E : : (c) by Reminder (May 22, 1996)
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com