BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.DOS.ArjVirus

Sınıf Virus
Platform DOS
Açıklama

Teknik detaylar

Tehlikeli bir bellek olmayan yerleşik virüs. Arşiv dosyalarını arar ve onları enfekte eder. Neyse ki, sadece arşivleyicilerin formatı için arama yapar. Enfeksiyon için arşiv dosyaları sadece ARJ standardında olmalıdır. Bu dosya arşivleri ARJ.EXE kompresörünün çalışmasının sonucudur.

ARJ.EXE, bir veya daha fazla dosyayı (alt dizinler de dahil olmak üzere) sıkıştırılmış biçimde bir veya birkaç arşivde (argo – arjive) dosyaları sıkıştırmaya ve depolamaya yarayan bir arşivleme programıdır. Bu yazılım, Robert K Jung tarafından telif hakkı (c) 1990-1993'e aittir.

Standart bir DOS virüsünden daha fazla bir solucan olan bu virüs, 5000 bayt uzunluğundadır. Bu dosyaları (virüs) kopyasıyla günceller. Yürütme sırasında, bu infector "* .arj" maskesini kullanarak ARJ uzantılı dosyaları arar (ARJ uzantılı dosyalar ARJ.EXE yardımcı programı tarafından oluşturulur ve sıkıştırılmış dosyaları içerir). Geçerli ve tüm üst dizinlerde ARJ dosyalarını arar.

ARJ arşiv dosyası bulunursa, virüs rastgele seçilmiş bir ad ve COM uzantısı ile geçici bir dosya oluşturur. Bu isim 'A' t0 'V' 'den dört harf içerir; 'V' sınırlaması, bu virüsün mektup numarası için 0Fh limitini kullanması, 15. (0Fh) harfi 'V' olmasıdır. Sonuç isimleri BHPL.COM, NLJJ.COM, OKPD.COM vb. Gibi görünür. Ardından, virüs bu COM dosyasına (5000 byte) yazar ve saklamak için dosyaya rasgele seçilen uzunluktaki çöp baytını ekler. Virüs, bu çöpün uzunluğunun, çalıştırılabilir COM dosyasının maksimum uzunluğunu aşmaması gerektiğini kontrol eder. Sonuç solucan dosyalarının uzunluğu 5000 bayttan fazla. 5000 bayt, herhangi bir enfeksiyonda dosyada saklanan kurtçuk gövdesinin uzunluğudur.

Sonra virüs, bu dosyayı bulunan arşive yerleştirir. Bunu en kolay şekilde yapar – virüs ARJ.EXE yardımcı programını zorlar. ARJ.EXE anahtarlarından biri "a" karakteridir, dosya (lar) ARJ arşiv dosyasına eklemek zorlar. Ve virüs bu seçeneği kullanır, standart C işlevini kullanarak ARJ.EXE'yi "a" karakteriyle çalıştırır. Yürütülen dize şöyle görünür:


c: komut.com / c arj a .com
nerede bulunan ARJ arşivinin uzantısı olan isim, yukarıda açıklanan dört bayt uzunlukta rasgele seçilmiş addır. "/ C" anahtarı, COMMAND.COM işaret eden programı (ARJ.EXE) yürütmek ve hemen çıkmak neden olur.

Bu komutun yürütülmesi sırasında arşivleyici ARJ.EXE sıkıştırır ve bulduğu arşiv dosyasına solucanı ekler. Sonra virüs geçici dosyayı siler ve bir sonraki ARJ dosyasını arar. Geçerli dizinde arşiv dosyaları yoksa, virüs üst virgülle atlar. Geçerli dizin disk kök dizini ise, virüs DOS'a döner.

Bu enfektörün özelliklerinden biri de çift enfeksiyondur. Arşivin çalıştırılmasında virüs, dosyanın varlığını kontrol etmez ve bunu nasıl yapabilir? İçerideki arşivi kontrol etmek kolay bir iş değildir ve bu virüsün yazarının bir nesneyi (çoğalması) belirlemediğini görüyorum. Yeni fikri en kolay yoldan fark etti, daha fazla değil.

Virüs, solucan dosyalarının rastgele isimlerini üretir. Bazen enfeksiyon için ARJ dosyasında bulunan adı üretebilir. Sonuç olarak, bu dosya virüs tarafından üzerine yazılacak ve bu dosyanın içeriği kaybolacaktır. Tabii ki, bu durumda solucan dosyası yürütme olasılığı büyür.

Virüs kancalarını INT 10h yaymak için – video interrupt. Ekrana standart çıkışı devre dışı bırakan IRET komutuna ayarlar. Bu özellik virüsü gizler, ancak virüs etkinliği hataları oluşursa, ARJ.EXE programı veya DOS hata mesajını görüntüler (örneğin, "Yazma hatası yazma sürücüsünü A:" yaz) ve yanıtı bekler. Ancak virüs çıkışı devre dışı bırakır ve kullanıcı sadece boş ekranı görecektir. Bilgisayar kapanır gibi görünüyor. Bu arada, MS-Windows altında sanal DOS makinesi yazma koruma hatası üzerinde tam ekran metin modu için geçiş yapar ve başka bir göreve geçmek imkansızdır. Son not: Bu virüs kısa dahili metin dizesini içerir:


* .arj .. 0000.com / c arj ac: command.com


Orijinaline link