Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и
по этой причине неработоспособен под WinNT. Содержит ошибки и часто
завешивает компьютер при заражении файлов. Несмотря на это представляет
достаточный интерес с технической точки зрения – вирус использует довольно
необычный прием заражения файлов.

Вирус может быть обнаружен только в двух файлах: в файле “SETUP.EXE” на
дискетах и в файле “SETUP .EXE” в корне диска C: (в имени этого файла
присутствует пробел).

На дискетах вирус использует необычный для современных вирусов прием
расположения своего тела. Вирус записывает свой код в последние кластера
дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом,
что при запуске он считывает код вируса непосредственно с кластеров
дискеты и инсталлирует его в систему.

Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS
EXE-программа, однако это не совсем так. При заражении этого файла на
дискете вирус использует метод вируса “DirII” и таким образом
прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты
вирус получает доступ к ее системным областям (корневой каталог и FAT-ы),
изменяет номер первого кластера файла SETUP.EXE и необходимым образом
модифицирует таблицы FAT. В результате первоначальное содержимое файла
SETUP.EXE остается без изменений, однако соответствующая запись в каталоге
дискеты указывает на код вируса.

При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса
получает управление, создает файл “C:SETUP .EXE” и записывает в него копию
вируса, предварительно считав эти данные с дискеты. Затем вирус запускает
этот файл, и управление получает процедура инсталляции вируса в систему.
Затем вирус “лечит” на дискете файл SETUP.EXE.

При инсталляции в систему вирус создает в системном реестре новый ключ
авто-запуска своей копии при каждом рестарте Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
YOBE=””C:SETUP .EXE” YOBE”

Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе
блок памяти, копирует туда свой код, перехватывает команды работы с файлами
(IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса
обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на
диске A:, вирус заражает его описанным выше способом.

Вирус содержит также дополнительные процедуры. Первая из них ищет и
выгружает антивирусные мониторы “AVP Monitor” и “Amon Antivirus Monitor”.
Вторая в зависимости от случайного счетчика выводит в левую часть экрана
вертикальную полосу, заполненную словами “YOBE”.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Win9x
Описание	Technical Details Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и по этой причине неработоспособен под WinNT. Содержит ошибки и часто завешивает компьютер при заражении файлов. Несмотря на это представляет достаточный интерес с технической точки зрения – вирус использует довольно необычный прием заражения файлов. Вирус может быть обнаружен только в двух файлах: в файле “SETUP.EXE” на дискетах и в файле “SETUP .EXE” в корне диска C: (в имени этого файла присутствует пробел). На дискетах вирус использует необычный для современных вирусов прием расположения своего тела. Вирус записывает свой код в последние кластера дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом, что при запуске он считывает код вируса непосредственно с кластеров дискеты и инсталлирует его в систему. Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS EXE-программа, однако это не совсем так. При заражении этого файла на дискете вирус использует метод вируса “DirII” и таким образом прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты вирус получает доступ к ее системным областям (корневой каталог и FAT-ы), изменяет номер первого кластера файла SETUP.EXE и необходимым образом модифицирует таблицы FAT. В результате первоначальное содержимое файла SETUP.EXE остается без изменений, однако соответствующая запись в каталоге дискеты указывает на код вируса. При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса получает управление, создает файл “C:SETUP .EXE” и записывает в него копию вируса, предварительно считав эти данные с дискеты. Затем вирус запускает этот файл, и управление получает процедура инсталляции вируса в систему. Затем вирус “лечит” на дискете файл SETUP.EXE. При инсталляции в систему вирус создает в системном реестре новый ключ авто-запуска своей копии при каждом рестарте Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun YOBE=””C:SETUP .EXE” YOBE” Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе блок памяти, копирует туда свой код, перехватывает команды работы с файлами (IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на диске A:, вирус заражает его описанным выше способом. Вирус содержит также дополнительные процедуры. Первая из них ищет и выгружает антивирусные мониторы “AVP Monitor” и “Amon Antivirus Monitor”. Вторая в зависимости от случайного счетчика выводит в левую часть экрана вертикальную полосу, заполненную словами “YOBE”.
	Узнай статистику распространения угроз в твоем регионе

Virus.Win9x.Yobe

Technical Details