Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: Win16
No platform descriptionОписание
Technical Details
Файловый резидентный вирус. Остается в памяти Windows и Windows95 как VxD-драйвер, перехватывает обращения к DOS EXE-файлам и записывается в их конец. Таким образом, вирус заражает различные операционные системы - Windows и DOS. Не заражает выполняемые файлы Windows (файлы форматов NE и PE), но остается под Windows "резидентно". Вирус заражает только DOS EXE-файлы, но не остается резидентно в DOS-памяти. При запуске зараженного DOS EXE-файла вирус записывает на диск свой VxD-"дроппер" (файл GOLLUM.386), регистрирует его в файле Windows SYSTEM.INI, возвращает управление программе-носителю и не производит никаких других действий. При старте Windows загружает в память файл GOLLUM.386, вирус при этом получает управление, перехватывает цепочку INT 21h (V86 interrupt chain) и заражает DOS EXE-файлы. Размер файла GOLLUM.386 равен 6592 байтам, DOS EXE-файлы при заражении увеличиваются на 7167 байт.
Запуск зараженного EXE-файла
Вирус в DOS EXE-файлах зашифрован командой NOT (XOR 0FFh), поэтому при запуске он первым делом расшифровывает свой код, используя несложный антиотладочный прием. Затем ищет на диске Windows, для чего пытается открыть пять файлов:
C:WINDOWSSYSTEM.INI C:WINSYSTEM.INI C:WIN31SYSTEM.INI C:WIN311SYSTEM.INI C:WIN95SYSTEM.INI
Если таких файлов нет, вирус не заражает систему. В противном случае он записывает свой VxD-дроппер в каталог SYSTEM обнаруженной копии Windows и вставляет в файл SYSTEM.INI команду загрузки VxD:
DEVICE=GOLLUM.386
Эта команда записывается в секцию [386Enh]:
SYSTEM.INI до и после заражения
... ... [386Enh] [386Enh] mouse=*vmd DEVICE=GOLLUM.386 ... mouse=*vmd ...
Вирус в VxD
Вирус в VxD-файле (GOLLUM.386) имеет формат LE (Linear Executable). DOS EXE stub в этом файле содержит код, выводящий на экран строку:
GoLLum!
LE-часть содержит процедуры вируса: обработчик INT 21h, заражение, DOS-часть вируса и т.д. Обработчик INT 21h перехватывает три функции DOS: Load and Execute (4B00h), Terminate (4C00h) и Change Directory (3Bh). При запуске файла вирус запоминает его имя и заражает файл при окончании его работы. Заражаются только файлы на диске C:, при этом вирус не заражает антивирусы SCAN*.*, F-PR*.*, TB*.* (SCAN, F-PROT, ThunderByte) и файлы, в именах которых присутствуют цифры или буква 'V'. Заражаются файлы обычным для DOS-вирусов приемом: вирус записывает свой код в конец файла и модифицирует его заголовок.
Проявления
4 июня при инсталляции вирус посылает системное сообщение и текст, который выводится Windows как стандартное сообщение об ошибке:
GoLLuM ViRuS by Griyo/29A
Deep down here by the dark water lived old Gollum, a small slimy creature. I dont know where he came from, nor who or what he was. He was a Gollum -as dark a darkness, except for two big round pale eyes in his thin face.
J.R.R. ToLkieN ... The HoBBit
Press any key to continue
При смене каталога вирус в зависимости от системного таймера создает файл GOLLUM.EXE и записывает в него свою VxD-копию. При запуске этого файла под DOS вирус (EXE DOS-stub) выводит сообщение:
GoLLum!
Вирус уничтожает антивирусные базы данных: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ. Вирус также содержит текст:
GoLLuM ViRuS for Microsoft Windows by GriYo/29A GPTrap_DDB
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com