BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Trojan-Spy |
Platform | Win9x |
Açıklama |
Teknik detaylarBir PE EXE dosyasını enfekte ederken virüs dahili dosya formatını ayrıştırır, dosyanın sonunda bir bölüm daha oluşturur ve şifreli metni buraya yazar. Virüs bölümüne, virüs bulaşmış bir dosya yürütüldüğünde kodunun gerekli Windows API işlevleriyle bağlantı kurabilmesi için virüs tarafından kullanılan dışa aktarma tablosu tarafından devam edilir. Virüs kendi Export tablosuna sahip olduğundan, işaretçiyi PE başlığında değiştirir. Virüs ayrıca orijinal ana bilgisayar dosyasının İhracat tablosuna da özel önem veriyor. Virüsü kaydetmek için, gerekli verileri dosya sonuna taşır ve kendi İhracat tablosuna ekler. Sonuç olarak, Windows bulaşmış dosyaları yüklediğinde, hem virüs hem de ana bilgisayar Dışa Aktarım tablolarını işler. Bölümünü kurban dosya gövdesiyle ilişkilendirmek için virüs, PE başlığında gerekli alanları değiştirir. Virüs bunu çok doğru yapar ve sonuç olarak, çoğu durumda WinNT altında virüslü dosyalar yüklendiğinde hatalara neden olmaz. Virüs, virüs bulaşmış dosyaları LastWrite tarih ve saat damgası dosyasına kaydedilen bir damga ile algılar. Bu ID değeri sabit değildir ve dosyanın zaman ve tarihinin diğer alanlarına (kimliğin kimliğini saklamak için beş tanesi olan Rol / Ror / Xor-es virüsüne) bağlıdır. Tetik rutinleriHafızada ikamet ederken virüs, tetikleme rutinlerinden üçünü çağırır. Birincisi sistem ortamını kontrol eder ve buna bağlı olarak virüsü "hata ayıklama moduna" çevirir. Sistem saatinin saniye değerine bağlı olarak ikincisi, MessageBox'u görüntüler: ![]() ![]()
Bilgisayarım / Özellikler seçildiğinde, bu BMP dosyası ve "Genel" bölümleri "Sistem Özelliği" penceresinde gösterilir. Virüs "Destek Bilgileri", aynı "Sistem Özelliği" ndeki ilgili düğmeye basıldığında görüntülenir. ![]() Virüs "hata ayıklama modu", sistem ortamı belirli bir dizgi içerdiğinde etkinleştirilir ("Değişken = Değer", "SET =" DOS komutuyla ayarlanır). Bu dizede 19 sembol vardır ve bir aptal CRC döngüsü kullanılarak virüs tarafından algılanır. Bu CRC döngüsü, dizeyi dört bayta "sıkıştırır", dolayısıyla bu dizenin birkaç milyon "okunabilir" varyantı vardır. Virüs ayıklama modu açık olduğunda, ileti kutusunu görüntüler: ![]() Virüs, daha sonra her bulaşmada bir MessageBox görüntüler ve bir dosyayı etkilemek için isteklere izin verir, örneğin: ![]() "Tamam" da virüs, virüsün bir "MessageBox" mesajını görüntüler ve çıkar: "İptal" ile virüs bulaşma rutini çalıştırır. ![]() Yukarıda belirtildiği gibi, USER32 ve GDI32 kancaları, virüs tarafından tetikleme rutinde kullanılır – virüs, görüntülenen metinleri değiştirir veya kendi mesajlarını verir. Virüs bulaşmış bir uygulama, 16. kez WinHelpA işlevine çağırdığında, Windows işlevini çağırmak yerine virüs kendi MessageBox'ını görüntüler: Herhangi bir MessageBoxA çağrısında virüs, sistem saatini kontrol eder ve buna bağlı olarak, MessageBox'taki orijinal metnin yerine altı varyantdan biriyle değiştirir:
Diğer çengelli çağrılar üzerinde virüs, dört alt yazı çeşidi için metni tarar ve bunları kendi sürümleriyle değiştirir:
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |