Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: IRC-Worm
Bu tür solucanlar Internet Relay Chat ile yayılır. E-posta solucanları gibi, IRC Solucanları da IRC kanalları üzerinden yaymanın iki yolunu sunar. İlki, solucanın bir kopyasına götüren bir URL göndermeyi içerir. İkinci teknik, bir IRC kanal kullanıcısına virüslü bir dosya göndermek. Ancak, virüslü dosyanın alıcısı dosyayı kabul etmeli, diske kaydetmeli ve açmalı (başlatmalı).Platform: DOS
No platform descriptionAçıklama
Teknik detaylar
Bu, bir mIRC betik programı kullanarak mIRC kanallarına yayılan ve Internet tarayıcısı etkilenen HTML sayfalarını okuduğunda uzaktaki bilgisayarlara bulaşan HTML dosyalarını etkilemeye çalışan bir virüs solucanıdır.
Virüs her ayın 1. ve 2. ayında kendini gösterir. Mesajları görüntüler ve daha sonra bir video efekti çalıştırır. VGA işlevlerini kullanarak, virüs, monitörün renklerini siyah beyazdan siyah beyaza ve arkaya çevirir. Mesajlar şöyledir:
1. Gün:Sadece hayallerinizde gerçekten özgür olabilirsiniz!~ + DarK.MeSsiAh + ~ SeptiC [TI] tarafından yazılmış2. Gün:Saf kötülük içeriden gelir! ~ DarK.MeSsiAh + ~SeptiC tarafından yazıldı [TI]
Virüs ayrıca virüs enfeksiyonu rutinlerini devre dışı bırakan bir "koruma" da destekler. Bir virüs kopyası yürütüldüğünde, C: _VAC.TXT dosyasını arar ve böyle bir dosya varsa, derhal ana bilgisayar programına döner. Virüs ayrıca mesajı burada görüntüler:
Sen bir devin güç tarafından korunuyorsun~ + DarK.MeSsiAh + ~ dosyalarınıza dokunmayacak
DOS COM ve EXE enfektör
Virüsün ana kısmı sıradan bir paraziter DOS dosya enfektörüdür. Virüs şifrelenir ve virüslü bir dosya yürütüldüğünde, şifre çözme döngüsü virüs kodunu şifrelenmemiş forma geri yükler ve ana virüs rutinine atlar. Virüs sonra DOS COM ve EXE dosyalarını arar ve onları enfekte eder. Virüs bulaşırken, virüs şifresini kodlar ve dosyanın sonuna yazar ve dosya üst bilgisini değiştirir.
Virüs, dosyaları arar ve bunları ana dizinde, ana dizinlerde ve C: 'den G:' ye tüm sürücülerdeki dizin ağacında bulaştırır. Virüs dosya isimlerini kontrol eder ve enfekte etmez: COMMAND, GA *, ?? NP *, ??? GW * dosyaları; MI * (MIRC.EXE, MIRC32.EXE) dosyası bulunursa, mIRC komut dosyası bulaşma yordamını çalıştırır; anti-virüs dosyalarını bozar: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - virüs, mesajı görüntüleyen bir kodla yazar ve bir virüslü dosya yürütüldü:
~ + DarK.MeSsiAh + ~ DarKness'in Dijital Dokunuşu! SeptiC tarafından yazıldı [TI]
Virüs, varsa ANTI-VIR.DAT dosyasını da siler.
BAT dosyaları bulaşıyor
Virüs ayrıca, BAT ve HTML dosyalarını da arar ve bunları aynı dizinlerde infekte eder. BAT dosyaları enfekte ederken, virüs DOS komutları, DOS komutunun yerine iki komut kümesi ile yazar: komutları ilk bir virüs damlalık PORNO.COM, ikinci DOS "dir" talimatını yürütür . Sonuç olarak, herhangi bir "dir" talimatında virüs damlalığı gerçekleştirilir.
Virüs, Windows Command dizinindeki PORNO.COM damlalık dosyasını oluşturur. Bu dizini bulmak için virüs üç varyantı dener:
C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND
Bunlardan biri geçerli değilse, virüs bu dosyayı geçerli dizine bırakır. Virüs daha sonra C: AUTOEXEC.BAT dosyasını açar ve diğer BAT dosyaları ile aynı şekilde bulaştırır.
HTML dosyalarını bulaştırarak
Bir HTML dosyasına bulaşırken virüs, aynı dizinde, PATCH.COM adıyla virüs bulaşmış damlalık oluşturur ve HTML dosyasının sonuna mesajı görüntüleyen kısa bir HTML komut kümesini ekler:
Son Yama indirin!Buraya TIKLAYIN!
"Buraya Tıklayın!" Bu bağlantı etkinleştirildiğinde, PATCH.COM virüs damlalığını indiren ve çalıştıran bir bağlantıdır. Sonuç olarak, virüs bulaşmış HTML sayfaları, bir yükseltme indirmeyi öneren bir virüs metni ile "devam" edilir, ancak bunun yerine virüs kodunu dağıtır.
mIRC komut dosyası
Virüs, sistemde yüklü bir mIRC istemcisi arar ve aynı dizinde yeni bir SCRIPT.INI dosyası oluşturur. Virüs altı dizinde mIRC arar ve dizinlerin hiçbiri bulunmazsa mIRC bileşenini düşürmez:
C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32
MIRC istemcisini enfekte ederken, virüs diğer mIRC virüslerinin yaptığı gibi aynı hile kullanır: standart mIRC komut dosyası SCRIPT.INI'nin virüslü bir dosya ile üzerine yazılır. Bir mIRC istemcisi etkilenen bir betikle başladığında, bu dosyayı kabul eder ve yönergeleri izler.
Enfekte SCRIPT.INI birkaç komut içerir. Ana virüs, virüs gönderme talimatıdır: herhangi bir kullanıcı herhangi bir dosya gönderdiğinde / alırken, virüs bu kullanıcıya virüslü damlalık dosyasını PORNO.COM gönderir.
Virüs ayrıca kanala ve kanaldaki kullanıcılara mesajlar gönderir. Virüs bulaşmış bir istemci bir IRC sunucusuna bağlandığında, virüs mesajı "SeptiC_dm" takma adı olan bir kullanıcıya gönderir:
Ben senin hizmetçinim! Karanlığın cılızına dönüştüm
Kanalda bir mesajda "D.Messiah" dizesi görünürse, virüs kendi mesajını kanaldaki tüm kullanıcılara gönderir:
Sadece hayallerinizde gerçekten özgür olabilirsiniz!~ + DarK.MeSsiAh + ~ Yazan SeptiC [TI]
"666" dizesinde virüs, virüslü kullanıcının yeterli ayrıcalıklara sahip olması halinde kanalın konusunu (kanal penceresinin başlığında görüntülenir) değiştirir. Yeni konu dizesi aşağıdaki gibi görünür:
~ + DarK.MeSsiAh + ~ DarKness'in Dijital Dokunuşu! SeptiC tarafından yazıldı [TI]
"Dua" metninde virüs, kanal operatörü modunu bu metni gönderen bir kullanıcıya ayarlar ve mesajı kanala gönderir:
Efendime itaat ediyorum! uzun ömürlü şeytan
"Kurban" metninde tüm virüslü kullanıcılar mesajla birlikte kanaldan atılır:
Senin sözün benim emrimi, şeytan için güç!
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com