BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Trojan-Spy Win9x

Trojan-Spy.Win9x.Harrier

Sınıf
Trojan-Spy
Platform
Win9x

Ana sınıf: TrojWare

Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.

Sınıf: Trojan-Spy

Trojan-Spy programları, kullanıcının eylemlerini gözetlemek (klavye tarafından girilen verileri izlemek, ekran görüntüleri yapmak, çalışan uygulamaların listesini almak vb.) Için kullanılır. Toplanan bilgiler daha sonra Truva'yı kontrol eden kötü niyetli kullanıcıya iletilir. Verileri iletmek için e-posta, FTP, web (bir talepte bulunan veriler dahil) ve diğer yöntemler kullanılabilir.

Platform: Win9x

No platform description

Açıklama

Teknik detaylar

Bir PE EXE dosyasını enfekte ederken virüs dahili dosya formatını ayrıştırır, dosyanın sonunda bir bölüm daha oluşturur ve şifreli metni buraya yazar. Virüs bölümüne, virüs bulaşmış bir dosya yürütüldüğünde kodunun gerekli Windows API işlevleriyle bağlantı kurabilmesi için virüs tarafından kullanılan dışa aktarma tablosu tarafından devam edilir. Virüs kendi Export tablosuna sahip olduğundan, işaretçiyi PE başlığında değiştirir. Virüs ayrıca orijinal ana bilgisayar dosyasının İhracat tablosuna da özel önem veriyor. Virüsü kaydetmek için, gerekli verileri dosya sonuna taşır ve kendi İhracat tablosuna ekler. Sonuç olarak, Windows bulaşmış dosyaları yüklediğinde, hem virüs hem de ana bilgisayar Dışa Aktarım tablolarını işler.

Bölümünü kurban dosya gövdesiyle ilişkilendirmek için virüs, PE başlığında gerekli alanları değiştirir. Virüs bunu çok doğru yapar ve sonuç olarak, çoğu durumda WinNT altında virüslü dosyalar yüklendiğinde hatalara neden olmaz.

Virüs, virüs bulaşmış dosyaları LastWrite tarih ve saat damgası dosyasına kaydedilen bir damga ile algılar. Bu ID değeri sabit değildir ve dosyanın zaman ve tarihinin diğer alanlarına (kimliğin kimliğini saklamak için beş tanesi olan Rol / Ror / Xor-es virüsüne) bağlıdır.

Tetik rutinleri

Hafızada ikamet ederken virüs, tetikleme rutinlerinden üçünü çağırır. Birincisi sistem ortamını kontrol eder ve buna bağlı olarak virüsü "hata ayıklama moduna" çevirir. Sistem saatinin saniye değerine bağlı olarak ikincisi, MessageBox'u görüntüler:

Virüs rastgele sayıcısına bağlı olarak (sistem tarihine ve zamanına bağlı olarak), onaltılık bir durumda, OEMINFO.INI ve OEMLOGO.BMP dosyalarını Windows sistem dizinine bırakır. OEMLOGO.INI dosyası iki bölümden aşağıdaki metin dizelerini içerir: 

[Genel]İmalatçı = TechnoratiModel = Harrier için çok geniş yaşam alanı
[Destek Bilgileri]line1 = Bugün virüs virüs değil,line2 = ama işletim sisteminin bir parçası. . .line3 = (C) DarkLand'dan 95-Th Harrierline4 = ---line5 = Güzel LOGO resmi oluşturulduline6 = PolyGris ve LionKing tarafından. Ana fikirline7 = ve tüm versiyonların kodu geliştirildiline8 = bana göre - TechnoRat
Bilgisayarım / Özellikler seçildiğinde, bu BMP dosyası ve "Genel" bölümleri "Sistem Özelliği" penceresinde gösterilir. Virüs "Destek Bilgileri", aynı "Sistem Özelliği" ndeki ilgili düğmeye basıldığında görüntülenir.

Virüs "hata ayıklama modu", sistem ortamı belirli bir dizgi içerdiğinde etkinleştirilir ("Değişken = Değer", "SET =" DOS komutuyla ayarlanır). Bu dizede 19 sembol vardır ve bir aptal CRC döngüsü kullanılarak virüs tarafından algılanır. Bu CRC döngüsü, dizeyi dört bayta "sıkıştırır", dolayısıyla bu dizenin birkaç milyon "okunabilir" varyantı vardır.

Virüs ayıklama modu açık olduğunda, ileti kutusunu görüntüler:

Virüs, daha sonra her bulaşmada bir MessageBox görüntüler ve bir dosyayı etkilemek için isteklere izin verir, örneğin:

"Tamam" da virüs, virüsün bir "MessageBox" mesajını görüntüler ve çıkar: "İptal" ile virüs bulaşma rutini çalıştırır.

Yukarıda belirtildiği gibi, USER32 ve GDI32 kancaları, virüs tarafından tetikleme rutinde kullanılır - virüs, görüntülenen metinleri değiştirir veya kendi mesajlarını verir.

Virüs bulaşmış bir uygulama, 16. kez WinHelpA işlevine çağırdığında, Windows işlevini çağırmak yerine virüs kendi MessageBox'ını görüntüler: 

"DarkLand’tan 95’lik Harrier"Tanrı yardım edecek! ;-)
Herhangi bir MessageBoxA çağrısında virüs, sistem saatini kontrol eder ve buna bağlı olarak, MessageBox'taki orijinal metnin yerine altı varyantdan biriyle değiştirir: 

Sistem arızası!VXDs halkaları aşıldı!CPU modu thunking hatası!CPU overclock, soğutucu cihaz acil!Yardım alt sistemi hasarlıdır!Dikkat! Bilgisayardaki hatalar, SoftIce'ı kullanın.

Diğer çengelli çağrılar üzerinde virüs, dört alt yazı çeşidi için metni tarar ve bunları kendi sürümleriyle değiştirir: 

MICROSOFT -> MIcrOSOFTPENCERELER -> WINDOwSBILL GATES -> Gill BatesHARRIER -> Oh! Çocuklar! Benim hakkımda mı?

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Related articles
25 June 2025
Securelist
AI and collaboration tools: how cyberattackers are targeting SMBs in 2025
23 June 2025
Securelist
SparkKitty, SparkCat’s little brother: A new Trojan spy found in the App Store and Google Play
11 June 2025
Securelist
Toxic trend: Another malware threat targets DeepSeek
09 June 2025
Securelist
Sleep with one eye open: how Librarian Ghouls steal data by night
06 June 2025
Securelist
Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721
05 June 2025
Securelist
IT threat evolution in Q1 2025. Non-mobile statistics
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.