BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan-Spy.Win9x.Harrier

Sınıf Trojan-Spy
Platform Win9x
Açıklama

Teknik detaylar

Bir PE EXE dosyasını enfekte ederken virüs dahili dosya formatını ayrıştırır, dosyanın sonunda bir bölüm daha oluşturur ve şifreli metni buraya yazar. Virüs bölümüne, virüs bulaşmış bir dosya yürütüldüğünde kodunun gerekli Windows API işlevleriyle bağlantı kurabilmesi için virüs tarafından kullanılan dışa aktarma tablosu tarafından devam edilir. Virüs kendi Export tablosuna sahip olduğundan, işaretçiyi PE başlığında değiştirir. Virüs ayrıca orijinal ana bilgisayar dosyasının İhracat tablosuna da özel önem veriyor. Virüsü kaydetmek için, gerekli verileri dosya sonuna taşır ve kendi İhracat tablosuna ekler. Sonuç olarak, Windows bulaşmış dosyaları yüklediğinde, hem virüs hem de ana bilgisayar Dışa Aktarım tablolarını işler.

Bölümünü kurban dosya gövdesiyle ilişkilendirmek için virüs, PE başlığında gerekli alanları değiştirir. Virüs bunu çok doğru yapar ve sonuç olarak, çoğu durumda WinNT altında virüslü dosyalar yüklendiğinde hatalara neden olmaz.

Virüs, virüs bulaşmış dosyaları LastWrite tarih ve saat damgası dosyasına kaydedilen bir damga ile algılar. Bu ID değeri sabit değildir ve dosyanın zaman ve tarihinin diğer alanlarına (kimliğin kimliğini saklamak için beş tanesi olan Rol / Ror / Xor-es virüsüne) bağlıdır.

Tetik rutinleri

Hafızada ikamet ederken virüs, tetikleme rutinlerinden üçünü çağırır. Birincisi sistem ortamını kontrol eder ve buna bağlı olarak virüsü "hata ayıklama moduna" çevirir. Sistem saatinin saniye değerine bağlı olarak ikincisi, MessageBox'u görüntüler:

Virüs rastgele sayıcısına bağlı olarak (sistem tarihine ve zamanına bağlı olarak), onaltılık bir durumda, OEMINFO.INI ve OEMLOGO.BMP dosyalarını Windows sistem dizinine bırakır. OEMLOGO.INI dosyası iki bölümden aşağıdaki metin dizelerini içerir:


[Genel]
İmalatçı = Technorati
Model = Harrier için çok geniş yaşam alanı

[Destek Bilgileri]
line1 = Bugün virüs virüs değil,
line2 = ama işletim sisteminin bir parçası. . .
line3 = (C) DarkLand'dan 95-Th Harrier
line4 = —
line5 = Güzel LOGO resmi oluşturuldu
line6 = PolyGris ve LionKing tarafından. Ana fikir
line7 = ve tüm versiyonların kodu geliştirildi
line8 = bana göre – TechnoRat
Bilgisayarım / Özellikler seçildiğinde, bu BMP dosyası ve "Genel" bölümleri "Sistem Özelliği" penceresinde gösterilir. Virüs "Destek Bilgileri", aynı "Sistem Özelliği" ndeki ilgili düğmeye basıldığında görüntülenir.

Virüs "hata ayıklama modu", sistem ortamı belirli bir dizgi içerdiğinde etkinleştirilir ("Değişken = Değer", "SET =" DOS komutuyla ayarlanır). Bu dizede 19 sembol vardır ve bir aptal CRC döngüsü kullanılarak virüs tarafından algılanır. Bu CRC döngüsü, dizeyi dört bayta "sıkıştırır", dolayısıyla bu dizenin birkaç milyon "okunabilir" varyantı vardır.

Virüs ayıklama modu açık olduğunda, ileti kutusunu görüntüler:

Virüs, daha sonra her bulaşmada bir MessageBox görüntüler ve bir dosyayı etkilemek için isteklere izin verir, örneğin:

"Tamam" da virüs, virüsün bir "MessageBox" mesajını görüntüler ve çıkar: "İptal" ile virüs bulaşma rutini çalıştırır.

Yukarıda belirtildiği gibi, USER32 ve GDI32 kancaları, virüs tarafından tetikleme rutinde kullanılır – virüs, görüntülenen metinleri değiştirir veya kendi mesajlarını verir.

Virüs bulaşmış bir uygulama, 16. kez WinHelpA işlevine çağırdığında, Windows işlevini çağırmak yerine virüs kendi MessageBox'ını görüntüler:


"DarkLand’tan 95’lik Harrier"
Tanrı yardım edecek! 😉
Herhangi bir MessageBoxA çağrısında virüs, sistem saatini kontrol eder ve buna bağlı olarak, MessageBox'taki orijinal metnin yerine altı varyantdan biriyle değiştirir:


Sistem arızası!
VXDs halkaları aşıldı!
CPU modu thunking hatası!
CPU overclock, soğutucu cihaz acil!
Yardım alt sistemi hasarlıdır!
Dikkat! Bilgisayardaki hatalar, SoftIce'ı kullanın.

Diğer çengelli çağrılar üzerinde virüs, dört alt yazı çeşidi için metni tarar ve bunları kendi sürümleriyle değiştirir:


MICROSOFT -> MIcrOSOFT
PENCERELER -> WINDOwS
BILL GATES -> Gill Bates
HARRIER -> Oh! Çocuklar! Benim hakkımda mı?


Orijinaline link