Virus.Win16.RedTeam

Класс Virus
Платформа Win16
Описание

Technical Details

Заражает выполняемые файлы Windows (NE EXE) и рассылает свои копии в Internet при помощи электронной почты Eudora — является первым известным вирусом, заражающим Windows и рассылающим зараженные письма через Internet.

Для заражения файлов вирус остается в памяти Windows как резидентная программа и записывается в NE-файлы при их запуске. При рассылке зараженных
сообщений сомостоятельно разбирает внутренний формат баз данных электронной почты Eudora и добавляет в Outbox сообщения, содержащие зараженное вложение (attach). Т.е. вирус рассылает свои копии в Internet только при условии
установленной на компьютере электронной почты Eudora. Принять зараженное письмо и активизировать вирус могут пользователи не только Eudora, но и большинства современных электронных почт, поскольку все они используют стандартизированные протоколы обмена сообщениями.
Естественно, что вирус неспособен автоматически запускать себя на компьютере, получившем зараженное сообщение. При открытии и просмотре
письма вирус не заражает систему, так как для этого требуется не только открыть письмо, но и запустить вложенный в него зараженный EXE-файл.
Сделать именно это и призывает пользователя текст сообщения (см. ниже).

Таким образом вирус представляет собой реальную угрозу для глобальных компьютерных сетей, поскольку использует для своего распространения наиболее популярную среду (Windows) и одну из самых популярных систем
электронной почты (Eudora). К счастью, он пока не был обнаружен «в живом виде».

Длина вируса 4766 байт. Вирус содержит зашифрованные тексты:

<<-RED TEAM->> (C) The Soul Manager.
Made in Australia - 06.97.
So, so, Herr Kurtzhals - Is F/Win able to follow The Red Team?

Заражение EXE

При заражении NE-файлов вирус не создает нового сегмента — он вычисляет адрес и размер сегмента кода, сдвигает остальную часть файла вниз и
записывается в образовавшуюся дыру. При этом вирус увеличивает размер сегмента кода, присоединяя таким образом свой код к первоначальному сегменту кода заражаемой программы. Затем вирус производит необходимые
изменения в NE-заголовке и исправляет адреса в NE-таблицах. При заражении обычных файлов (не Kernel) вирус записывает в NE-заголовок новый (вирусный) адрес точки входа. В случае Kernel вирус изменяет адреса системных процедур.

При запуске зараженного файла в незараженной системе код вируса получает управление, ищет файл, содержащий Win16 Kernel (KRNL286.EXE или
KRNL386.EXE) и заражает его описанным выше способом. Вирус не изменяет адрес точки входа. Вместо этого он устанавливает на себя адреса системных процедур WINEXEC или INITTASK. В случае Windows 3.xx вирус перехватывает WINEXEC, в случае Windows95/NT — INITTASK (поскольку Win32 не вызывает WINEXEC при запуске программ). Затем вирус возвращает управление программе-носителю и не производит более никаких действий вплоть до
очередной перезагрузки Windows.

Для того, чтобы различить версию KRNL?86.EXE (Windows 3.xx или 95/NT) вирус ищет в файле ссылку на системную процедуру CALLPROC32W, присутствующую только в 32-битных Windows95/NT.

Инсталляция

При перезагрузке Windows вирус остается в памяти как часть 16-битного ядра
Windows, при этом вирусу не нужно производить никаких специальных действий:
в результате своего метода заражения вирус уже является частью ядра
Windows. Вирусу также не надо перехватывать системные процедуры
WINEXEC/INITTASK — их адреса уже указывают на код вируса.
Под Windows 3.xx вирус перехватывает WINEXEC и, следовательно, заражает
файлы при их запуске. Вирус делает это достаточно оригинально: он
немедленно вызывает «настоящий» WINEXEC, а заражение откладывает «на
потом». В результате заражение происходит в фоновом режиме, и не происходит
видимого замедления работы компьютера при запуске файлов. Это достаточно
важно для вирусов, заражающих Windows 3.xx, поскольку сейчас эта система
установлена обычно на старых медленных PC, и заметная задержка при
выполнении файлов может обеспокоить пользователя.
Под Windows95/NT вирус перехватывает INITTASK, т.е. получает управление при
регистрации в системе запускаемых программ. При этом вызове вирус при
помощи процедуры GetExePtr получает handle каждой активной программы и
заражает те из них, которые имеют формат NE.

Заражение E-mail

При заражении NE-файлов вирус с вероятностью 1/8 активизирует в них
процедуру рассылки зараженных сообщений e-mail, т.е. примерно каждый
восьмой зараженный файл распространяет вирус в Internet. Делает он это при
запуске в каталоге Eudora. Вирус ищет и открывает файлы данных:
NNDBASE.TOC, OUT.TOC, OUT.MBX. Из первого файла («Nick Names DataBase»)
вирус считывает имена, по которым затем будет рассылаться сообщение. После
этого вирус создает и записывает зараженное сообщение в файл OUT.MBX
(Outbox database), а необходимые ссылки на это сообщение записывает в файл
OUT.TOC.
Зараженное сообщение имеет заголовок «Red Team», содержит текст и вложенный
EXE-файл (attach). Текст сообщения (в теле вируса он присутствует в
скомпрессированном виде) гласит о том, что обнаружен новый e-mail вирус по
имени «Red Team», против этого вируса создан антивирус, который и вложен в
письмо:

----------------------------------------------------------------------
Hiya!
Just thought I'd warn you about a destructive new e-mail virus.
Here is some info:
> The "Red Team" virus is a complex new computer virus that spreads via
> the Microsoft Windows operating system, and Internet E-Mail. Although
> it is not the first virus to spread via E-Mail (that was "Good Times"),
> the Red Team virus is unparalelled in its destructive capabilities.
> Further more, the virus is exceedingly common - it has already been
> reported in much of western Europe, the USA, Russia, Australia, and
> Japan. In short, everywhere.
>
> We at QUEST, have spent several weeks analysing this virus, and are proud
> to anounce that we finally have a cure! The program, named "K-RTEAM"
> (Kill Red Team), can be executed in any Microsoft Windows environment, and
> will reliably detect (and remove if nescessary) the Red Team virus from
> your system buffers.
>
> --
> Julia Blumin
> QUALCOMM Enterprise Software Technologies
> World Wide Web: http://www.qualcomm.com
The reason I thought I should warn you, is that we recently had a run in
with this beast.  Luckily we managed to get a copy of the excellent
'K-RTEAM' programme before the destruction really started. Just in case
you should suffer the same misfortune, I have included this programme for
you too.
Bye!
P.S. Make sure you warn all your friends of this new threat!
----------------------------------------------------------------------

Вложенный файл с именем K-RTEAM.EXE («Kill Red Team») имеет формат NE и
длину 6351 байт. Является он зараженной программой-пустышкой, которая при
запуске не производит никаких действий (за исключением, естественно,
запуска вируса). Вирус создает этот файл на диске C: (C:K-RTEAM.EXE). В
начале и конце файла присутствуют тексты:

K-RTEAM - Red Team Anti-Virus
K-RTEAM
Red Team Virus Found!
Remove Virus?
Virus Removed!
Could not Remove Virus!

Вирус не посылает повторные сообщения с одного и того же компьютера: при
рассылке заражений вирус создает файл-идентификатор с именем RTBASE.TOC и
при следующих запусках не вызывает процедуру рассылки писем, если такой
файл уже присутствует.

Тесты

Вирус работоспособен в операционной системе Windows 3.xx и не вызывает
каких-либо побочных эффектов (системные сообщения об ошибках, сбои в работе
компьютера и т.д.) — все зараженные файлы остались работоспособными.
Вирус также без побочных эффектов записал зараженные сообщения в e-mail
базу Outbox, зараженное письмо (естественно, без приаттаченного вируса)
затем было послано в Internet на тестовый адрес и принято в неповрежденном
виде.
В средах Windows95 и Windows NT вирус по причине ошибки не заражает
KRNL386.EXE: под адрес NE-заголовка вирус отводит слово (DW) вместо
двойного слова (DD), хотя затем обращается к этой переменной как к двойному
слову. Второе слово вирус использует как идентификатор версии Windows и
записывает в него 0 под Windows 3.xx и FFFFh под Windows95/NT. Естественно,
что в результате вирус корректно заражает KRNL386.EXE только под Windows
3.x.
Несмотря на это файлы, зараженные под Windows3.xx, остаются вполне
работоспособными под Windows95/NT. Они работают без ошибок и способны
записывать сообщения в базу данных Eudora. Более того, ошибка в вирусе
может быть исправлена, и автор вируса выпустит в свет версию вируса,
совместимую с Windows95/NT.