Virus.Multi.Invader

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Multi

Мульти- или кроссплатформенность – способность программного обеспечения работать более чем на одной аппаратной платформе или операционной системе.

Описание

Technical Details

Опасная резидентная программа. Представляет собой TSR-вирус, заражающий exe- и com-файлы. Совмещает в себе функции файлового вируса и boot-вируса. Написана на языке ассемблера.

Symptoms

• Замедление работы компьютера либо его периодическое «подвисание»;
• проигрывание через динамик системного блока последовательностей звуков;
• несанкционированное пользователем обращение к дисководу
• выдача на экран для ранее работавших дискет следующего сообщения:

  Non-system disk or disk error»

Также к симптомам заражения можно отнести увеличение размеров исполняемых файлов на 4096 байт.

Payload

Вирус распространяется, используя два различных пути инфицирования, — как файловый вирус и как загрузочный вирус.

После запуска вируса, происходит проверка оперативной памяти на предмет присутствия в ней уже загруженного вируса.

При запуске вируса в DOS, что делается путем вызова неопределенной в DOS функции 42h(AH) с передачей ей параметра 43h (AL) прерывания 21h и значения FFh в регистр BL.

Если проверка не выявила присутствия резидента в памяти, то происходит получение векторов прерываний 08h, 09h, 21h. Сохранение существующего вектора и замена его на собственный вектор прерывания.

При вызове функции 42h (прерывания 21h) с передачей в AL значения 43h и в BL значения FFh в AX будет возвращено значение 5678h. Хотя, в двух разных местах производится установка значения FFh в регистр BL в коде проверки присутствия тела вируса в памяти, однако в обработчике 21h прерывания при анализе функции 43h проверки значения регистра BL не производится.

В обработчиках прерываний 21h и 13h происходит копирование кода вируса в память.

Обработчик прерывания 21h вируса содержит проверки для вызова функций 42h c параметрами в AL 43h и 44h — необходимых для внутренних нужд вируса, и функций 4Bh и 3Dh c параметрами в AL равными 00h, используемых для загрузки и выполнения программы и открытия файла соответственно.

Находясь в памяти, вирус активируется, получая управление в обработчиках 08h (системный таймер — вызывается каждую секунду) и 09h (нажатие клавиши на клавиатуре) прерываний. Вирус активизируется не на каждом прерывании, а случайным образом. После активации выполняются циклы задержки, проигрываются в случайной последовательности звуки через динамик системного блока.

При обработке функции 4Bh прерывания 21h происходит заражение исполняемых файлов системы. При заражении исполняемого файла вирус выполняет следующие действия:

• получает атрибуты файла;
• далее получает информацию о наличии свободного места на текущем диске;
• открывает файл на чтение;
• затем следует проверка на зараженность файла;
• после этого происходит переопределение вектора прерывания 24h для обработки исключительных ситуаций в ходе модификации файла;
• восстанавливаются ранее сохраненные атрибуты файла, происходит закрытие файла;
• в случае, если файл еще не заражен происходит новое открытие файла - для записи;
• происходит получение даты последнего изменения заражаемого файла и сохранение ее;
• затем выделяется буфер памяти размером 1000h параграфов, в случае успешного выделения памяти происходит копирование в выделенную память тела вируса и счетчик использованных байт буфера устанавливается равным 100h параграфам.

Действия вируса при заражении различных исполняемых файлов проходят по разным алгоритмам.

Для com-файла выполняются следующие действия:

• далее считываются данные заголовка файла, и происходит сохранение их в буфере перед телом вируса, при этом увеличивается счетчик использованных байт буфера на количество байт, считанных из файла;
• после этого происходит установка позиции записи в начало заражаемого файла и запись участка буфера, размером равным счетчику использованных байт буфера.

Для exe-файла, механизм заражения будет таким:

• в начале заражения файла происходит модификация таблицы переходов exe-файла для передачи управления вирусу при запуске файла;
• происходит установка позиции записи в конец заражаемого файла и запись участка буфера, размером равным счетчику использованных байт буфера;
• после этого производится освобождение памяти ранее выделенного буфера;
• далее происходит установка ранее сохраненного времени последней модификации файла;
• файл закрывается;
• восстанавливаются ранее сохраненные атрибуты файла;
• восстанавливается ранее сохраненный вектор прерывания 24h.

В качестве загрузочного вирус выполняет следующие действия:

• в процессе загрузки происходит обращение к зараженной дискете, вирус получает управление;
• производится попытка определения первого жесткого диска и инфицирование его MBR;
• если дискета не является загрузочной, вирус выдает сообщение «Non-system disk or disk error. Replace and strike any key when ready» и остается в памяти. Если дискета является загрузочной, то извлекается резервная копия оригинальной загрузочной процедуры и продолжается загрузка;
• при последующих обращениях к дискам, используя подмененный обработчик прерывания 13h, вирус производит заражение дискет.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com