Virus.Win32.HIV

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Опасный зашифрованный Win32-вирус, размер - более 6Kb. Заражает PE EXE-файлы (приложения Windows) на диске и в MSI-архивах, рассылает по электронной почте XML-скрипты, которые загружают на компьютер копию вируса из Internet.

Вирус использует анти-отладочные приемы и завешивает систему, если обнаружен стандартный отладчик или отладчик SoftICE.

Вирус пытается отключить встроенную в Windows систему защиты файлов (Windows File Protection). Под Win98 вирус записывает пустые данные в файл DEFAILT.SFC, под Win2000 - в файл SFCFILES.DLL. Этот прием, видимо, работает только под Win98. Win2000 либо блокирует доступ к файлу SFCFILES.DLL, либо немедленно восстанавливает его из резервной копии.

Заражение

При старте вирус ищет PE EXE файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженного приложения, перехватывает функции работы с файлами и заражает их. Вирус в результате активен в памяти Windows до момента окончания работы зараженной программы.

При заражении вирус записывается в конец файла. Стартовый адрес программы не изменяется, вместо этого вирус сканирует файл, ищет стандартные "обкладки" подпрограмм и записывает вместо одной из них команду JMP_Virus. Таким образом, вирус активизируется не непосредственно в момент запуска зараженного файла, а тогда, когда управление передается на соответствующую подпрограмму зараженного файла.

В некоторых случаях, если файловая система на компьютере - NTFS, вирус создает в зараженных файлах дополнительный "поток" (NTFS stream) с именем "HIV" (полное имя - "filename.ext:HIV") и записывает в него текст:

This cell has been infected by HIV virus, generation: 0xNNNNNNNN

где NNNNNNNN является номером "поколения" вируса.

Архивы MSI

Вирус также перехватывает доступ к MSI-архивам, открывает их, ищет в них PE EXE-файлы и записывает в них код, который при старте файла выводит сообщение:

[Win32.HiV] by Benny/29A
This cell has been infected by HIV virus, generation: 0xNNNNNNNN

где NNNNNNNN является номером "поколения" вируса.

Заражение HTML

При старте вирус также ищет файлы *.HTML в текущем каталоге и замещает их новыми файлами, которые имеют дополнительное (второе) расширение имени .XML :

Незараженный файл: File.html
Зараженный файл: File.html.xml

Затем вирус скрывает изменения зараженных HTML-файлов: отменяет вывод расширения имени для XML-файлов и устанавливает е XML-файлов стандартную иконку HTML-файлов. В результате, несмотря на то, что расширение имени файла изменилось, Explorer показывает их со старым именем и с иконкой HTML-файлов.

В заражаемые HTML-файлы вирус записывает скрипт, которые открывает Internet-файл:

http://coderz.net/benny/viruses/press.txt

На самом деле этот файл является не обычным текстовым файлом, а XML-страницей со скриптом, который скачивает с того же Internet-сайта файл MSXMLP.EXE и регистрирует его в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c:MSXMLP.EXE

Файл MSXMLP.EXE, обнаруженный на указанном сайте, содержит "первое поколение" вируса. Однако автор вируса может заменить его и, таким образом, "апгрейдить" зараженные машины новыми версиями вируса или устанавливать троянских коней.

Электронная почта

Вирус открывает базу данных WAB (Windows Address Book), считывает из нее адреса электронной почты и рассылает по ним сообщения:

From: press@microsoft.com
Sent: 2010/06/06 22:00
Тема письма: XML presentation
Тело письма:

Please check out this XML presentation and send us your opinion.
If you have any questions about XML presentation, write us.
Thank you,
The XML developement team, Microsoft Corp.

Имя присоединенного файла: press.txt

Прикрепленный файл PRESS.TXT является тем же XML-файлом, который записывается в HTML-файлы при их заражении. В результате, при просмотре PRESS.TXT Internet Explorer-ом, скрипт-программа устанавливает на компьютер "первое поколение" вируса с указанного выше Internet-сайта.

Файл PRESS.TXT также сохранается вирусом в корне диска C: - C:PRESS.TXT.

При рассылке сообщений вирус использует библиотеку MAPI, то есть не зависит от конкретного типа почтовой системы.

Известные версии вируса содержат ошибки и по их причине не способны рассылать письма электронной почты.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com