Virus.Win32.Parvo

Класс Virus
Платформа Win32
Описание

Technical Details

Нерезидентный полиморфик-вирус, размножается под Windows32 (Win95/98
and WinNT) и заражает PE EXE-файлы (Portable Executable). Имеет довольно
внушительный размер для программы, написанной на Ассемблере — более 15Kb.

Наиболее интересной особенностью вируса является его способность рассылать
свои копии по случайно выбранным адресам электронной почты (см. также
описания других вирусов, рассылающих зараженные письма:
«Win.RedTeam», «Word97.Antimarc»,
«Word.Innuendo», «Macro.Word.ShareFun».

Код вируса содержит «копирайты»:


— Parvo BioCoded by GriYo / 29A — Win32 Tech Support by Jacky Qwerty / 29A
— Thanks to Darkman / 29A and b0z0 / Ikx for their ideas and strategy
— Parvo is a research speciment, do not distribute
— c1999 29A Labs … We create life —

Многие процедуры вируса (заражение, полиморфик-генератор) функционально
совпадают с вирусом «Win95.Marburg». Так же, как и
«Marburg», вирус записывает себя в конец последней секции и не изменяет
адрес «точки входа» — вместо этого записывает в «точку входа» инструкцию
JMP_Virus передачи управления на код вируса. Перед командой JMP_Virus может
также присутствовать некоторое количество полиморфного кода.

При запуске зараженного файла управление передается на полиморфик-цикл и
дополнительный короткий цикл расшифровки, которые восстанавливают код
вируса в первоначальном виде. Затем управление получает процедура подсчета
контрольной суммы кода вируса — если CRC вируса некорректна, вирус
прекращает свою работу. Необходимость CRC-проверки вызвана, скорее всего,
тем фактом, что вирус рассылает свои копии по электронной почте. Данные в
письме могут быть повреждены, и вирус при помощи CRC блокирует исполнение
своих испорченых копий.

Затем вирус сканирует ядро Windows и определяет необходимые для его работы
адреса API-функций Windows. При поиске API-функций вирус вместо «настоящих»
имен использует их CRC-суммы: для каждой следующей функции ядра Windows
вирус подсчитывает ее CRC и сравнивает с таблицей, хранящейся в теле
вируса.

Для заражения вирус ищет EXE-файлы в текущем каталоге, в главном и
системном каталогах Windows. Вирус также заражает файлы в каталогах, в
которых установлены Интернет-броузер и электронная почта. Имена этих
каталогов вирус считывает из системного реестра.

Вирус заражает только файлы из достаточно короткого списка: IEXPLORE.EXE,
INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE, и
некоторые другие. При сравнении имен файлов вирус опять-таки использует их
CRC-суммы.

При возврате управления программе-носителю вирус создает на диске копию
зараженного файла, лечит ее и запускает на выполнение. Вирус при этом
остается в памяти компьютера на все время работы вылеченной копии, т.е.
может находиться в системной памяти неопределенно долгое время. Однако
несмотря на этот факт, вирус нельзя считать резидентным: он не
перехватывает никаких системных событий, не заражает файлы — т.е. находится
в «спящем» состоянии.

При рассылке зараженных писем вирус при помощи функций Windows получает
доступ к сетевым ресурсам, создает письмо, присоединяет к нему зараженный
файл-дроппер и отсылает его по случайно выбранному электронному адресу.
Адреса рассылки выбираются вирусом по достаточно оригинальному методу:
вирус входит на один из нескольких возможных серверов новостей, считывает
случайное письмо, ищет в нем строку «FROM», и следующие за ней данные
использует как электронный адрес жертвы.

Имя зараженного файла в письме выбирается из трех вариантов: MSEFIXI.EXE,
LSERIAL.EXE или HOTEENS.EXE. Само сообщение (включая заголовки) также
выбирается из трех вариантов:

Сообщение 1 -------------------------------------------------------------
mail from: support@microsoft.com
from: support@microsoft.com
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: Present security risk using Microsoft Internet Explorer and
Outlook Express
A new and dangerous virus has hit the Internet.
DESCRIPTION:
When the email client receives a malicious mail or news message that
contains an attachment with a very long filename, it could cause the
email to execute arbitrary code automaticly on the client workstation,
thus infecting the machine.
Microsoft has been aware of this problem from the very beginning and
presents here a patch for the two of our products in which it exploits.
Outlook 98 on Windows 95, Windows 98 and Microsoft Windows NT 4.0
Outlook Express 4.0, 4.01 (including 4.01 with Service Pack 1) on
Windows 95, Windows 98 and Windows NT 4.0
Netscape Mail Clients
SOLUTION:
Customers using this products for Windows 95, Windows 98 or Windows NT
4.0 should execute the attached patch or download an updated patch
from:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Please patch your computer(s) as soon as possible and help us fight this
threat to the Internet.
Thank for your time.
Microsoft Support

Сообщение 2 -------------------------------------------------------------
mail from: 
from: 
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: New and even larger serial number list out now!
Hi
Do you need a serial number for a unregistrated program of yours?
Do you feel like you have looked for it everywhere?
Even in the newest version of Phrozen Crews Oscar?
If you can answer -yes- to some of the above questions and are still
looking for a serial number, this might be the program you have been
waiting for.
We have collected serial numbers for many years and are now proud to
release the very first version of our serial number collection, which
contains more than 15.000 serial numbers.
Attached to this message is the very first version of our serial number
collection.
Yours,
Serial number collectors

Сообщение 3 -------------------------------------------------------------
mail from: 
from: 
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: New and 100% free XXX site
Dear potential customer,
We have just opened a new erotic site with more than 10.000 .JPGs and more
than 1.000 .MPG/.VIV/.AVI/.MOV/etc.
We offer you the opportunity of a lifetime, we are giving away a months
access, without being charged, to our new site in exchange for your
opinion.
All you have to do is execute the attached advert, which will generate your
personal User ID, you dont even have to provide information as your
personal credit card number, etc.
And if you like our site, please tell all your friends about us.
http://www.hoteens.com/
HoTeens.com