Класс
Virus
Платформа
Win16

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Win16

No platform description

Описание

Technical Details

Заражает выполняемые файлы Windows (NE EXE) и рассылает свои копии в Internet при помощи электронной почты Eudora - является первым известным вирусом, заражающим Windows и рассылающим зараженные письма через Internet.

Для заражения файлов вирус остается в памяти Windows как резидентная программа и записывается в NE-файлы при их запуске. При рассылке зараженных сообщений сомостоятельно разбирает внутренний формат баз данных электронной почты Eudora и добавляет в Outbox сообщения, содержащие зараженное вложение (attach). Т.е. вирус рассылает свои копии в Internet только при условии установленной на компьютере электронной почты Eudora. Принять зараженное письмо и активизировать вирус могут пользователи не только Eudora, но и большинства современных электронных почт, поскольку все они используют стандартизированные протоколы обмена сообщениями. Естественно, что вирус неспособен автоматически запускать себя на компьютере, получившем зараженное сообщение. При открытии и просмотре письма вирус не заражает систему, так как для этого требуется не только открыть письмо, но и запустить вложенный в него зараженный EXE-файл. Сделать именно это и призывает пользователя текст сообщения (см. ниже).

Таким образом вирус представляет собой реальную угрозу для глобальных компьютерных сетей, поскольку использует для своего распространения наиболее популярную среду (Windows) и одну из самых популярных систем электронной почты (Eudora). К счастью, он пока не был обнаружен "в живом виде".

Длина вируса 4766 байт. Вирус содержит зашифрованные тексты:

<<-RED TEAM->> (C) The Soul Manager.
Made in Australia - 06.97.
So, so, Herr Kurtzhals - Is F/Win able to follow The Red Team?

Заражение EXE

При заражении NE-файлов вирус не создает нового сегмента - он вычисляет адрес и размер сегмента кода, сдвигает остальную часть файла вниз и записывается в образовавшуюся дыру. При этом вирус увеличивает размер сегмента кода, присоединяя таким образом свой код к первоначальному сегменту кода заражаемой программы. Затем вирус производит необходимые изменения в NE-заголовке и исправляет адреса в NE-таблицах. При заражении обычных файлов (не Kernel) вирус записывает в NE-заголовок новый (вирусный) адрес точки входа. В случае Kernel вирус изменяет адреса системных процедур.

При запуске зараженного файла в незараженной системе код вируса получает управление, ищет файл, содержащий Win16 Kernel (KRNL286.EXE или KRNL386.EXE) и заражает его описанным выше способом. Вирус не изменяет адрес точки входа. Вместо этого он устанавливает на себя адреса системных процедур WINEXEC или INITTASK. В случае Windows 3.xx вирус перехватывает WINEXEC, в случае Windows95/NT - INITTASK (поскольку Win32 не вызывает WINEXEC при запуске программ). Затем вирус возвращает управление программе-носителю и не производит более никаких действий вплоть до очередной перезагрузки Windows.

Для того, чтобы различить версию KRNL?86.EXE (Windows 3.xx или 95/NT) вирус ищет в файле ссылку на системную процедуру CALLPROC32W, присутствующую только в 32-битных Windows95/NT.

Инсталляция

При перезагрузке Windows вирус остается в памяти как часть 16-битного ядра Windows, при этом вирусу не нужно производить никаких специальных действий: в результате своего метода заражения вирус уже является частью ядра Windows. Вирусу также не надо перехватывать системные процедуры WINEXEC/INITTASK - их адреса уже указывают на код вируса. Под Windows 3.xx вирус перехватывает WINEXEC и, следовательно, заражает файлы при их запуске. Вирус делает это достаточно оригинально: он немедленно вызывает "настоящий" WINEXEC, а заражение откладывает "на потом". В результате заражение происходит в фоновом режиме, и не происходит видимого замедления работы компьютера при запуске файлов. Это достаточно важно для вирусов, заражающих Windows 3.xx, поскольку сейчас эта система установлена обычно на старых медленных PC, и заметная задержка при выполнении файлов может обеспокоить пользователя. Под Windows95/NT вирус перехватывает INITTASK, т.е. получает управление при регистрации в системе запускаемых программ. При этом вызове вирус при помощи процедуры GetExePtr получает handle каждой активной программы и заражает те из них, которые имеют формат NE.

Заражение E-mail

При заражении NE-файлов вирус с вероятностью 1/8 активизирует в них процедуру рассылки зараженных сообщений e-mail, т.е. примерно каждый восьмой зараженный файл распространяет вирус в Internet. Делает он это при запуске в каталоге Eudora. Вирус ищет и открывает файлы данных: NNDBASE.TOC, OUT.TOC, OUT.MBX. Из первого файла ("Nick Names DataBase") вирус считывает имена, по которым затем будет рассылаться сообщение. После этого вирус создает и записывает зараженное сообщение в файл OUT.MBX (Outbox database), а необходимые ссылки на это сообщение записывает в файл OUT.TOC. Зараженное сообщение имеет заголовок "Red Team", содержит текст и вложенный EXE-файл (attach). Текст сообщения (в теле вируса он присутствует в скомпрессированном виде) гласит о том, что обнаружен новый e-mail вирус по имени "Red Team", против этого вируса создан антивирус, который и вложен в письмо:

----------------------------------------------------------------------
Hiya!
Just thought I'd warn you about a destructive new e-mail virus.
Here is some info:
> The "Red Team" virus is a complex new computer virus that spreads via
> the Microsoft Windows operating system, and Internet E-Mail. Although
> it is not the first virus to spread via E-Mail (that was "Good Times"),
> the Red Team virus is unparalelled in its destructive capabilities.
> Further more, the virus is exceedingly common - it has already been
> reported in much of western Europe, the USA, Russia, Australia, and
> Japan. In short, everywhere.
>
> We at QUEST, have spent several weeks analysing this virus, and are proud
> to anounce that we finally have a cure! The program, named "K-RTEAM"
> (Kill Red Team), can be executed in any Microsoft Windows environment, and
> will reliably detect (and remove if nescessary) the Red Team virus from
> your system buffers.
>
> --
> Julia Blumin
> QUALCOMM Enterprise Software Technologies
> World Wide Web: http://www.qualcomm.com
The reason I thought I should warn you, is that we recently had a run in
with this beast.  Luckily we managed to get a copy of the excellent
'K-RTEAM' programme before the destruction really started. Just in case
you should suffer the same misfortune, I have included this programme for
you too.
Bye!
P.S. Make sure you warn all your friends of this new threat!
----------------------------------------------------------------------

Вложенный файл с именем K-RTEAM.EXE ("Kill Red Team") имеет формат NE и длину 6351 байт. Является он зараженной программой-пустышкой, которая при запуске не производит никаких действий (за исключением, естественно, запуска вируса). Вирус создает этот файл на диске C: (C:K-RTEAM.EXE). В начале и конце файла присутствуют тексты:

K-RTEAM - Red Team Anti-Virus
K-RTEAM
Red Team Virus Found!
Remove Virus?
Virus Removed!
Could not Remove Virus!

Вирус не посылает повторные сообщения с одного и того же компьютера: при рассылке заражений вирус создает файл-идентификатор с именем RTBASE.TOC и при следующих запусках не вызывает процедуру рассылки писем, если такой файл уже присутствует.

Тесты

Вирус работоспособен в операционной системе Windows 3.xx и не вызывает каких-либо побочных эффектов (системные сообщения об ошибках, сбои в работе компьютера и т.д.) - все зараженные файлы остались работоспособными. Вирус также без побочных эффектов записал зараженные сообщения в e-mail базу Outbox, зараженное письмо (естественно, без приаттаченного вируса) затем было послано в Internet на тестовый адрес и принято в неповрежденном виде. В средах Windows95 и Windows NT вирус по причине ошибки не заражает KRNL386.EXE: под адрес NE-заголовка вирус отводит слово (DW) вместо двойного слова (DD), хотя затем обращается к этой переменной как к двойному слову. Второе слово вирус использует как идентификатор версии Windows и записывает в него 0 под Windows 3.xx и FFFFh под Windows95/NT. Естественно, что в результате вирус корректно заражает KRNL386.EXE только под Windows 3.x. Несмотря на это файлы, зараженные под Windows3.xx, остаются вполне работоспособными под Windows95/NT. Они работают без ошибок и способны записывать сообщения в базу данных Eudora. Более того, ошибка в вирусе может быть исправлена, и автор вируса выпустит в свет версию вируса, совместимую с Windows95/NT.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Узнай больше об угрозах и векторах атаки на Энциклопедии Kaspersky
Бесплатно
Читать
Kaspersky Premium
Комплексное решение для защиты вашей цифровой жизни
Премиум
Скачать
Confirm changes?
Your message has been sent successfully.