Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bir PE EXE dosyasını enfekte ederken virüs dahili dosya formatını ayrıştırır, dosyanın sonunda bir bölüm daha oluşturur ve şifreli metni buraya yazar. Virüs bölümüne, virüs bulaşmış bir dosya yürütüldüğünde kodunun gerekli Windows API işlevleriyle bağlantı kurabilmesi için virüs tarafından kullanılan dışa aktarma tablosu tarafından devam edilir. Virüs kendi Export tablosuna sahip olduğundan, işaretçiyi PE başlığında değiştirir. Virüs ayrıca orijinal ana bilgisayar dosyasının İhracat tablosuna da özel önem veriyor. Virüsü kaydetmek için, gerekli verileri dosya sonuna taşır ve kendi İhracat tablosuna ekler. Sonuç olarak, Windows bulaşmış dosyaları yüklediğinde, hem virüs hem de ana bilgisayar Dışa Aktarım tablolarını işler.

Bölümünü kurban dosya gövdesiyle ilişkilendirmek için virüs, PE başlığında gerekli alanları değiştirir. Virüs bunu çok doğru yapar ve sonuç olarak, çoğu durumda WinNT altında virüslü dosyalar yüklendiğinde hatalara neden olmaz.

Virüs, virüs bulaşmış dosyaları LastWrite tarih ve saat damgası dosyasına kaydedilen bir damga ile algılar. Bu ID değeri sabit değildir ve dosyanın zaman ve tarihinin diğer alanlarına (kimliğin kimliğini saklamak için beş tanesi olan Rol / Ror / Xor-es virüsüne) bağlıdır.

Tetik rutinleri

Hafızada ikamet ederken virüs, tetikleme rutinlerinden üçünü çağırır. Birincisi sistem ortamını kontrol eder ve buna bağlı olarak virüsü "hata ayıklama moduna" çevirir. Sistem saatinin saniye değerine bağlı olarak ikincisi, MessageBox'u görüntüler:

Virüs rastgele sayıcısına bağlı olarak (sistem tarihine ve zamanına bağlı olarak), onaltılık bir durumda, OEMINFO.INI ve OEMLOGO.BMP dosyalarını Windows sistem dizinine bırakır. OEMLOGO.INI dosyası iki bölümden aşağıdaki metin dizelerini içerir:



[Genel]

İmalatçı = Technorati

Model = Harrier için çok geniş yaşam alanı



[Destek Bilgileri]

line1 = Bugün virüs virüs değil,

line2 = ama işletim sisteminin bir parçası. . .

line3 = (C) DarkLand'dan 95-Th Harrier

line4 = —

line5 = Güzel LOGO resmi oluşturuldu

line6 = PolyGris ve LionKing tarafından. Ana fikir

line7 = ve tüm versiyonların kodu geliştirildi

line8 = bana göre – TechnoRat

Bilgisayarım / Özellikler seçildiğinde, bu BMP dosyası ve "Genel" bölümleri "Sistem Özelliği" penceresinde gösterilir. Virüs "Destek Bilgileri", aynı "Sistem Özelliği" ndeki ilgili düğmeye basıldığında görüntülenir.

Virüs "hata ayıklama modu", sistem ortamı belirli bir dizgi içerdiğinde etkinleştirilir ("Değişken = Değer", "SET =" DOS komutuyla ayarlanır). Bu dizede 19 sembol vardır ve bir aptal CRC döngüsü kullanılarak virüs tarafından algılanır. Bu CRC döngüsü, dizeyi dört bayta "sıkıştırır", dolayısıyla bu dizenin birkaç milyon "okunabilir" varyantı vardır.

Virüs ayıklama modu açık olduğunda, ileti kutusunu görüntüler:

Virüs, daha sonra her bulaşmada bir MessageBox görüntüler ve bir dosyayı etkilemek için isteklere izin verir, örneğin:

"Tamam" da virüs, virüsün bir "MessageBox" mesajını görüntüler ve çıkar: "İptal" ile virüs bulaşma rutini çalıştırır.

Yukarıda belirtildiği gibi, USER32 ve GDI32 kancaları, virüs tarafından tetikleme rutinde kullanılır – virüs, görüntülenen metinleri değiştirir veya kendi mesajlarını verir.

Virüs bulaşmış bir uygulama, 16. kez WinHelpA işlevine çağırdığında, Windows işlevini çağırmak yerine virüs kendi MessageBox'ını görüntüler:



"DarkLand’tan 95’lik Harrier"

Tanrı yardım edecek! 😉

Herhangi bir MessageBoxA çağrısında virüs, sistem saatini kontrol eder ve buna bağlı olarak, MessageBox'taki orijinal metnin yerine altı varyantdan biriyle değiştirir:



Sistem arızası!

VXDs halkaları aşıldı!

CPU modu thunking hatası!

CPU overclock, soğutucu cihaz acil!

Yardım alt sistemi hasarlıdır!

Dikkat! Bilgisayardaki hatalar, SoftIce'ı kullanın.

Diğer çengelli çağrılar üzerinde virüs, dört alt yazı çeşidi için metni tarar ve bunları kendi sürümleriyle değiştirir:



MICROSOFT -> MIcrOSOFT

PENCERELER -> WINDOwS

BILL GATES -> Gill Bates

HARRIER -> Oh! Çocuklar! Benim hakkımda mı?

Orijinaline link

Sınıf	Trojan-Spy
Platform	Win9x
Açıklama	Teknik detaylar Bir PE EXE dosyasını enfekte ederken virüs dahili dosya formatını ayrıştırır, dosyanın sonunda bir bölüm daha oluşturur ve şifreli metni buraya yazar. Virüs bölümüne, virüs bulaşmış bir dosya yürütüldüğünde kodunun gerekli Windows API işlevleriyle bağlantı kurabilmesi için virüs tarafından kullanılan dışa aktarma tablosu tarafından devam edilir. Virüs kendi Export tablosuna sahip olduğundan, işaretçiyi PE başlığında değiştirir. Virüs ayrıca orijinal ana bilgisayar dosyasının İhracat tablosuna da özel önem veriyor. Virüsü kaydetmek için, gerekli verileri dosya sonuna taşır ve kendi İhracat tablosuna ekler. Sonuç olarak, Windows bulaşmış dosyaları yüklediğinde, hem virüs hem de ana bilgisayar Dışa Aktarım tablolarını işler. Bölümünü kurban dosya gövdesiyle ilişkilendirmek için virüs, PE başlığında gerekli alanları değiştirir. Virüs bunu çok doğru yapar ve sonuç olarak, çoğu durumda WinNT altında virüslü dosyalar yüklendiğinde hatalara neden olmaz. Virüs, virüs bulaşmış dosyaları LastWrite tarih ve saat damgası dosyasına kaydedilen bir damga ile algılar. Bu ID değeri sabit değildir ve dosyanın zaman ve tarihinin diğer alanlarına (kimliğin kimliğini saklamak için beş tanesi olan Rol / Ror / Xor-es virüsüne) bağlıdır. Tetik rutinleri Hafızada ikamet ederken virüs, tetikleme rutinlerinden üçünü çağırır. Birincisi sistem ortamını kontrol eder ve buna bağlı olarak virüsü "hata ayıklama moduna" çevirir. Sistem saatinin saniye değerine bağlı olarak ikincisi, MessageBox'u görüntüler: Virüs rastgele sayıcısına bağlı olarak (sistem tarihine ve zamanına bağlı olarak), onaltılık bir durumda, OEMINFO.INI ve OEMLOGO.BMP dosyalarını Windows sistem dizinine bırakır. OEMLOGO.INI dosyası iki bölümden aşağıdaki metin dizelerini içerir: [Genel] İmalatçı = Technorati Model = Harrier için çok geniş yaşam alanı [Destek Bilgileri] line1 = Bugün virüs virüs değil, line2 = ama işletim sisteminin bir parçası. . . line3 = (C) DarkLand'dan 95-Th Harrier line4 = — line5 = Güzel LOGO resmi oluşturuldu line6 = PolyGris ve LionKing tarafından. Ana fikir line7 = ve tüm versiyonların kodu geliştirildi line8 = bana göre – TechnoRat Bilgisayarım / Özellikler seçildiğinde, bu BMP dosyası ve "Genel" bölümleri "Sistem Özelliği" penceresinde gösterilir. Virüs "Destek Bilgileri", aynı "Sistem Özelliği" ndeki ilgili düğmeye basıldığında görüntülenir. Virüs "hata ayıklama modu", sistem ortamı belirli bir dizgi içerdiğinde etkinleştirilir ("Değişken = Değer", "SET =" DOS komutuyla ayarlanır). Bu dizede 19 sembol vardır ve bir aptal CRC döngüsü kullanılarak virüs tarafından algılanır. Bu CRC döngüsü, dizeyi dört bayta "sıkıştırır", dolayısıyla bu dizenin birkaç milyon "okunabilir" varyantı vardır. Virüs ayıklama modu açık olduğunda, ileti kutusunu görüntüler: Virüs, daha sonra her bulaşmada bir MessageBox görüntüler ve bir dosyayı etkilemek için isteklere izin verir, örneğin: "Tamam" da virüs, virüsün bir "MessageBox" mesajını görüntüler ve çıkar: "İptal" ile virüs bulaşma rutini çalıştırır. Yukarıda belirtildiği gibi, USER32 ve GDI32 kancaları, virüs tarafından tetikleme rutinde kullanılır – virüs, görüntülenen metinleri değiştirir veya kendi mesajlarını verir. Virüs bulaşmış bir uygulama, 16. kez WinHelpA işlevine çağırdığında, Windows işlevini çağırmak yerine virüs kendi MessageBox'ını görüntüler: "DarkLand’tan 95’lik Harrier" Tanrı yardım edecek! 😉 Herhangi bir MessageBoxA çağrısında virüs, sistem saatini kontrol eder ve buna bağlı olarak, MessageBox'taki orijinal metnin yerine altı varyantdan biriyle değiştirir: Sistem arızası! VXDs halkaları aşıldı! CPU modu thunking hatası! CPU overclock, soğutucu cihaz acil! Yardım alt sistemi hasarlıdır! Dikkat! Bilgisayardaki hatalar, SoftIce'ı kullanın. Diğer çengelli çağrılar üzerinde virüs, dört alt yazı çeşidi için metni tarar ve bunları kendi sürümleriyle değiştirir: MICROSOFT -> MIcrOSOFT PENCERELER -> WINDOwS BILL GATES -> Gill Bates HARRIER -> Oh! Çocuklar! Benim hakkımda mı?
	Orijinaline link

Trojan-Spy.Win9x.Harrier

Teknik detaylar

Tetik rutinleri