Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и
по этой причине неработоспособен под WinNT. Содержит ошибки и часто
завешивает компьютер при заражении файлов. Несмотря на это представляет
достаточный интерес с технической точки зрения — вирус использует довольно
необычный прием заражения файлов.

Вирус может быть обнаружен только в двух файлах: в файле «SETUP.EXE» на
дискетах и в файле «SETUP .EXE» в корне диска C: (в имени этого файла
присутствует пробел).

На дискетах вирус использует необычный для современных вирусов прием
расположения своего тела. Вирус записывает свой код в последние кластера
дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом,
что при запуске он считывает код вируса непосредственно с кластеров
дискеты и инсталлирует его в систему.

Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS
EXE-программа, однако это не совсем так. При заражении этого файла на
дискете вирус использует метод вируса «DirII» и таким образом
прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты
вирус получает доступ к ее системным областям (корневой каталог и FAT-ы),
изменяет номер первого кластера файла SETUP.EXE и необходимым образом
модифицирует таблицы FAT. В результате первоначальное содержимое файла
SETUP.EXE остается без изменений, однако соответствующая запись в каталоге
дискеты указывает на код вируса.

При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса
получает управление, создает файл «C:SETUP .EXE» и записывает в него копию
вируса, предварительно считав эти данные с дискеты. Затем вирус запускает
этот файл, и управление получает процедура инсталляции вируса в систему.
Затем вирус «лечит» на дискете файл SETUP.EXE.

При инсталляции в систему вирус создает в системном реестре новый ключ
авто-запуска своей копии при каждом рестарте Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
YOBE=»»C:SETUP .EXE» YOBE»

Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе
блок памяти, копирует туда свой код, перехватывает команды работы с файлами
(IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса
обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на
диске A:, вирус заражает его описанным выше способом.

Вирус содержит также дополнительные процедуры. Первая из них ищет и
выгружает антивирусные мониторы «AVP Monitor» и «Amon Antivirus Monitor».
Вторая в зависимости от случайного счетчика выводит в левую часть экрана
вертикальную полосу, заполненную словами «YOBE».

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Win9x
Описание	Technical Details Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и по этой причине неработоспособен под WinNT. Содержит ошибки и часто завешивает компьютер при заражении файлов. Несмотря на это представляет достаточный интерес с технической точки зрения — вирус использует довольно необычный прием заражения файлов. Вирус может быть обнаружен только в двух файлах: в файле «SETUP.EXE» на дискетах и в файле «SETUP .EXE» в корне диска C: (в имени этого файла присутствует пробел). На дискетах вирус использует необычный для современных вирусов прием расположения своего тела. Вирус записывает свой код в последние кластера дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом, что при запуске он считывает код вируса непосредственно с кластеров дискеты и инсталлирует его в систему. Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS EXE-программа, однако это не совсем так. При заражении этого файла на дискете вирус использует метод вируса «DirII» и таким образом прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты вирус получает доступ к ее системным областям (корневой каталог и FAT-ы), изменяет номер первого кластера файла SETUP.EXE и необходимым образом модифицирует таблицы FAT. В результате первоначальное содержимое файла SETUP.EXE остается без изменений, однако соответствующая запись в каталоге дискеты указывает на код вируса. При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса получает управление, создает файл «C:SETUP .EXE» и записывает в него копию вируса, предварительно считав эти данные с дискеты. Затем вирус запускает этот файл, и управление получает процедура инсталляции вируса в систему. Затем вирус «лечит» на дискете файл SETUP.EXE. При инсталляции в систему вирус создает в системном реестре новый ключ авто-запуска своей копии при каждом рестарте Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun YOBE=»»C:SETUP .EXE» YOBE» Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе блок памяти, копирует туда свой код, перехватывает команды работы с файлами (IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на диске A:, вирус заражает его описанным выше способом. Вирус содержит также дополнительные процедуры. Первая из них ищет и выгружает антивирусные мониторы «AVP Monitor» и «Amon Antivirus Monitor». Вторая в зависимости от случайного счетчика выводит в левую часть экрана вертикальную полосу, заполненную словами «YOBE».
	Узнай статистику распространения угроз в твоем регионе

Virus.Win9x.Yobe

Technical Details