Класс
Virus
Платформа
Multi

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Multi

Мульти- или кроссплатформенность – способность программного обеспечения работать более чем на одной аппаратной платформе или операционной системе.

Описание

Technical Details

"Многоплатформенный" вирус - заражает документы MS Word и VxD-драйвера Windows. Заражение происходит поэтапно: вирус из зараженного документа переносит себя в PE EXE-файл, затем из PE-файла в VxD, и только затем - опять в документы. При открытии зараженного документа вирус создает на диске свой PE-дроппер и запускает его, PE-дроппер ищет и заражает VxD-файлы в каталоге Windows, при перезапуске Windows вирус из зараженного драйвера проникает в ядро Windows, перехватывает системные вызовы и заражает документы при их открытии:

+----------+     +---------+     +---------+      +---------+
|Зараженный| --> |PE EXE   | --> |+---------+ --> |+---------+  -->
|документ  |     |дроппер  |     ||VxD      |     ||+---------+ -->
|Word      |     |         |     ||драйвер  |     |||Документы| -->
|          |     |         |     ||         |     |||Word     |
+----------+     +---------+     +|         |     +||         |
+---------+      +|         |
+---------+

При заражении объектов различного формата их длина увеличивается на различные значения: документы - на 17245 байт, драйвера VxD - на 12288 байт, длина файла RUNME.EXE равна 16208 байт. В документах Word и в VxD-драйверах вирус использует достаточно "красивый" способ хранения своего кода - вирус записывает в заражаемый объект лишь небольшую часть своего кода (загрузчик), а основной код дописывает в конец файла как совершенно независимый блок данных (типа оверлеев в DOS EXE-файлах). Этот блок данных никак не связан с основным кодом/данными зараженного файла - ни Word в зараженных документах, ни Windows при загрузке VxD не обращают на него никакого внимания и не грузят его в память. Загрузчик вируса при этом является "легальной" компонентой объекта - это либо макрос и документах Word, либо 32-битная подпрограмма в VxD-драйверах. Этот загрузчик при запуске считывает основной код вируса из файла-носителя и запускает его.

Зараженный VxD:                     Зараженный документ:
+--------------+                    +--------------+
|Первоначальный|                    |Первоначальные|
|код VxD       |                    |данные        |
|--------------|                    |документа     |
|Загрузчик     | <- 32-битная       |--------------|
|вируса        |    программа       |Загрузчик     |
|--------------|                    |вируса        | <- макрос
|продолжение   |                    +--------------+ <- конец документа
|VxD (код и    |                    |"оверлей"     | <- основной код
|данные)       |                    |              |    вируса
+--------------+ <- конец кода VxD  +--------------+ <- конец файла
|"оверлей"     | <- основной код
|              |    вируса
+--------------+ <- конец файла

Наиболее "популярный" способ заражения вирусом на сегодняшний день - это не обмен зараженных программ, а получение зараженного документа. Поэтому с большой вероятностью вирус появится на компьютере в виде Word-документа с кодов вируса внутри. При заражении документов вирус записывает в них свой загрузчик в виде макроса с именем AutoOpen. Этот макрос является авто-запускаемым, и, соответственно, при открытии документа получает управление на себя. Код вируса в макросе AutoOpen создает файл C:RUNME.EXE, считывает свой "оверлей" из конца документа, записывает его в RUNME.EXE и запускает его на выполнение.

Заражение VxD

При запуске RUNME.EXE определяет каталог Windows, переходит в подкаталог SYSTEM и заражает там несколько VxD-драйверов согласно списку (если таковые файлы там присутствуют): EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD, MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD, SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD, VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD

При заражении VxD вирус разбирает формат драйверов (которые являются LE-файлами, Linear Executable), модифицирует несколько полей LE-заголовка, меняет адрес "стартовой" подпрограммы VxD (Control_Proc_0) и дописывает свой код в конец секции кода VxD. Формат LE-файлов позволяет делать это, поскольку код и данные в LE-файлах расположены постранично. Если код/данные не заполняют страницу до конца, оставшееся место оказывается незанятым - именно туда и записывает вирус 214 байт своего загрузчика, если, конечно же, в странице кода есть свободное место.

После заражения вирус устанавливает у VxD-файла новую дату/время - 4-е января 1997, 4:28 утра. По этому идентификатору вирус определяет уже зараженные VxD-файлы.

Вирус не заражает никаких более VxD-драйверов, кроме как перечисленные выше, и только в каталоге SYSTEM. После заражения VxD вирус не удаляет свой файл RUNME.EXE (в надежде на то, что кому-то нравиться запускать файлы с подобными именами?)

Заражение документов

При старте Windows95 и загрузке зараженных VxD-драйверов загрузчик вируса считывает свой основной код из файла-носителя (так же, как и при открытии зараженного документа) и выполняет его. При этом вирус перехватывает IFS API и обрабатывает открытие файлов. При открытии файлов с расширением DOC вирус проверяет их внутренний формат, записывает в них свой макрос AutoOpen и дописывает к файлу свой основной код. Документы также конвертируются в темплейты.

При заражении вирус использует собственные подпрограммы обработки формата документов Word. Эти подрограммы способны обработать не все возможные варианты документов, поэтому вирус заражает только документы размера до 800K и только PanEuro Word 6/7.

Поскольку Word не обращает внимания на "оверлей" вируса, то при сохранении на диск зараженного документа он "отрезает" основной код вируса, сохраняя при этом код макроса AutoOpen. Подобные документы в дальнейшем неспособны распространять вирус.

Процедура заражения документов собержит ошибки, в результате чего вирус делает невидимыми уже существующие в документе макросы (если таковые присутствовали). Более того, такие документы могут вызвать ошибки при работе в Word с выводом соответствующего сообщения:

This program has performed illegal operation
and will be shut down.

То же самое происходит при попытках удалить макрос AutoOpen средствами Word (Tools/Macro/Delete или Organizer).

Прочие замечания

Вирус жизнеспособен только в среде Windows95 - по причине заражения VxD вирус неспособен размножаться на NT, а по причине "промежуточного" PE-дроппера вирус неспособен размножаться под Windows 3.xx. Под Windows95 вирус не вызывает практически никаких побочных эффектов, за исключением описанных выше проблем с Word. Вирус содержит строки текста, оставшиеся, видимо, от отладочной версии вируса:

can not find DDB fixupp
can not infect this file
not valid vxd file
successfuly infected
infecting file

Прочие строки используются вирусом при заражении VxD-драйверов как имена Windows-процедур:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime
GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle

Следующие строки являются комментариями автора вируса на английском и "хакерском" языках:

HZDS virus (the world 1st direct VxD infector and the 2nd Word 6/7 infector)
(c) Navrhar (DESIGNeR in english), Slovakia, 21-oct-97
Diz virus haz been written in Banska Bystrica city, Slovakia.
WфlЫ0mф ч0 чhф HZD$ vнйцs gйффчн0gZ рйфр !
GйффчZ: Vyv0jрй, ю0ыфй, ярsчy Ьрmфй & Ugly Ьцsфй, MGЬ, янghчmрйф 00kфй.
$pфЫнрl GйффчZ: Тцчh0й 0Я Т0рйЫhy.6э93 (н wр0чфы ч0 сф 1sч, сцч чhф h000й
сфl00gs ч0 y0ц - ц0Я0йчц0рчфly)
Mр0y ЯцЫks g0фs ч0 ч0: HZD$, Vlры0 M.(DнЫчрч0й)
$p00s0йфы сy *-Z1яю (чhф сфsч VX-Сн0ф фvфй)

Перевод второго блока выглядит примерно так:

Welcome to the HZDS virus greetings area !
Greetz: Vyvojar, Ender, Nasty Lamer & Ugly Luser, MGL,
Nightmare Joker,
Special Greets: Author of Anarchy.6093 (i wanted to be 1st, but the honor
belongs to you - unfortunately)
Many fucks goes to to: HZDS, V1ado M.(Dictator)
Sponsored by *-Zine (the best VX-zine ever)

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.