BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Multi.Angela

Sınıf Virus
Platform Multi
Açıklama

Teknik detaylar

Bu, sabit disk MBR sektörü, disket sürücüleri önyükleme sektörü, DOS EXE dosyası ve aynı zamanda MS Outlook kullanarak kendini mIRC istemci enfekte ederek IRC kanalları aracılığıyla yayılan bir multipartite virüsdür.

Virüs bulaşmış bir disketteki bir bilgisayarda, virüs bulaşmış bir DOS EXE dosyası olarak veya bir e-posta iletisinde virüslü bir ek olarak görünebilir.

Virüsün hiçbir yükü yoktur ve kendisi dışında herhangi bir şekilde kendini göstermez – dosyayı siler:

C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

Virüs, bu dosyayı, eski bir INT 13h yolunu kullanarak disket disk sektörlerini çalıştırmaya zorlamak için bu dosyayı silmeye ihtiyaç duyuyor (bu, virüsün disk enfeksiyonu ve gizlilik yordamlarını çalıştırması için gereklidir, aşağıya bakın).

Virüslü bir diskten önyükleme

Virüs bulaşan bir diskten yüklenir, virüs INT 13h (disk erişimi) ve INT 1Ch (zamanlayıcı) kancalar. Bir zamanlayıcı kanca kullanarak, bir sistem önyükleme kadar virüs bekler, sonra INT 21h (DOS işlevleri) kancalar ve çalıştırılan DOS EXE dosyalarını bozar. INT 13h'yi çırparak, virüs disketlere erişir ve önyükleme kesimlerini etkilemektedir. Virüs, aynı zamanda, virüslü disk sektörlerine erişim sağlayarak bir işlevi {stealth: Stealth} gerçekleştirir.

Etkilenen DOS EXE dosyası çalıştırılıyor

Virüs bulaşmış bir DOS EXE dosyasından çalıştırıldıktan sonra virüs, sabit sürücünün MBR sektörüne bulaşır, DOS EXE düşürücüsünü oluşturur ve kaydeder, e-posta ile yayılacak bir VBS komut programı oluşturur ve IRC kanallarına gönderilecek bir mIRC komut dosyası oluşturur. .

Virüs damlacığı ANGELA.EXE adı vardır ve C: WINDOWSSYSTEM dizininde oluşturulur (Windows başka bir dizinde yüklü ise, virüs IRC'ye ve e-postaya yayılamaz). Bu dosya, C: AUTOEXEC.BAT dosyasındaki her yeniden başlatma için çalışacak şekilde kaydedilir. Virüs, her yeniden başlatma üzerine bu dosyayı çalıştırmak için oraya bir komut yazar ve bu dosyaya yorumlar ekler:

@EKO KAPALI
c: windowssystemangela.exe
REM – ÇIKARMAYIN!

Virüs damlalığı virüs bulaşmış DOS EXE dosyasında yaptığı gibi aynı yapar; Örneğin, virüs bileşenlerinden (VBS veya mIRC betiği) herhangi biri silinirse, virüs bir sonraki yeniden başlatma sonrasında yeniden oluşturacaktır.

Posta

Virüs, Windows başlangıç ​​dizininde ANGELA.VBS dosyasını oluşturur ve sonuç olarak, bu betik her Windows açılışında aktif hale gelir. Komut dosyasındaki program MS Outlook'a erişim, adres defteri kayıtları alır ve orada bulunan ilk 20 adrese bir virüs kopyası (ANGELA.EXE damlalık) gönderir. Mesaj var:

Konu: Sonunda bulundu!
Gövde: Bana istediğin dosyalar …
Ek adı: angela.exe

Komut dosyası daha sonra VBS dosyasını siler ve aynı Windows seance sırasında daha fazla virüslü mesaj gönderilmez, ancak bilgisayar yeniden başlatıldığında txtxt, ANGELA.EXE damlalığı AUTOEXEC.BAT'den etkinleştirilir ve VBS yeniden oluşturulur. postalama rutini.

IRC kanalları enfekte

Virüs, SCRIPT.INI dosyasını C: MIRC dizininde oluşturur. Bu betik, virüslü IRC kanalına katılan tüm kullanıcılara bir ANGELA.EXE damlalık gönderir.


Orijinaline link