Virus.Win32.HIV

Класс Virus
Платформа Win32
Описание

Technical Details

Опасный зашифрованный Win32-вирус, размер — более 6Kb. Заражает PE EXE-файлы (приложения Windows) на диске и в MSI-архивах, рассылает по электронной почте XML-скрипты, которые загружают на компьютер копию вируса из Internet.

Вирус использует анти-отладочные приемы и завешивает систему, если обнаружен стандартный отладчик или отладчик SoftICE.

Вирус пытается отключить встроенную в Windows систему защиты файлов (Windows File Protection). Под Win98 вирус записывает пустые данные в файл DEFAILT.SFC, под Win2000 — в файл SFCFILES.DLL. Этот прием, видимо, работает только под Win98. Win2000 либо блокирует доступ к файлу
SFCFILES.DLL, либо немедленно восстанавливает его из резервной копии.

Заражение

При старте вирус ищет PE EXE файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженного приложения, перехватывает функции работы с файлами и заражает их. Вирус в результате активен в памяти Windows до момента окончания работы зараженной программы.

При заражении вирус записывается в конец файла. Стартовый адрес программы не изменяется, вместо этого вирус сканирует файл, ищет стандартные «обкладки» подпрограмм и записывает вместо одной из них команду JMP_Virus.
Таким образом, вирус активизируется не непосредственно в момент запуска зараженного файла, а тогда, когда управление передается на соответствующую подпрограмму зараженного файла.

В некоторых случаях, если файловая система на компьютере — NTFS, вирус создает в зараженных файлах дополнительный «поток» (NTFS stream) с именем «HIV» (полное имя — «filename.ext:HIV») и записывает в него текст:

This cell has been infected by HIV virus, generation: 0xNNNNNNNN

где NNNNNNNN является номером «поколения» вируса.

Архивы MSI

Вирус также перехватывает доступ к MSI-архивам, открывает их, ищет в них PE EXE-файлы и записывает в них код, который при старте файла выводит сообщение:

[Win32.HiV] by Benny/29A
This cell has been infected by HIV virus, generation: 0xNNNNNNNN

где NNNNNNNN является номером «поколения» вируса.

Заражение HTML

При старте вирус также ищет файлы *.HTML в текущем каталоге и замещает их новыми файлами, которые имеют дополнительное (второе) расширение имени .XML :

Незараженный файл: File.html

Зараженный файл: File.html.xml

Затем вирус скрывает изменения зараженных HTML-файлов: отменяет вывод расширения имени для XML-файлов и устанавливает е XML-файлов стандартную иконку HTML-файлов. В результате, несмотря на то, что расширение имени
файла изменилось, Explorer показывает их со старым именем и с иконкой HTML-файлов.

В заражаемые HTML-файлы вирус записывает скрипт, которые открывает Internet-файл:

http://coderz.net/benny/viruses/press.txt

На самом деле этот файл является не обычным текстовым файлом, а XML-страницей со скриптом, который скачивает с того же Internet-сайта файл MSXMLP.EXE и регистрирует его в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c:MSXMLP.EXE

Файл MSXMLP.EXE, обнаруженный на указанном сайте, содержит «первое поколение» вируса. Однако автор вируса может заменить его и, таким образом, «апгрейдить» зараженные машины новыми версиями вируса или устанавливать
троянских коней.

Электронная почта

Вирус открывает базу данных WAB (Windows Address Book), считывает из нее адреса электронной почты и рассылает по ним сообщения:

From: press@microsoft.com
Sent: 2010/06/06 22:00
Тема письма: XML presentation
Тело письма:

Please check out this XML presentation and send us your opinion.
If you have any questions about XML presentation, write us.
Thank you,
The XML developement team, Microsoft Corp.

Имя присоединенного файла: press.txt

Прикрепленный файл PRESS.TXT является тем же XML-файлом, который записывается в HTML-файлы при их заражении. В результате, при просмотре PRESS.TXT Internet Explorer-ом, скрипт-программа устанавливает на компьютер
«первое поколение» вируса с указанного выше Internet-сайта.

Файл PRESS.TXT также сохранается вирусом в корне диска C: — C:PRESS.TXT.

При рассылке сообщений вирус использует библиотеку MAPI, то есть не зависит от конкретного типа почтовой системы.

Известные версии вируса содержат ошибки и по их причине не способны рассылать письма электронной почты.