Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Virus
Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.Platform: Multi
No platform descriptionAçıklama
Teknik detaylar
Bu, sabit disk MBR sektörü, disket sürücüleri önyükleme sektörü, DOS EXE dosyası ve aynı zamanda MS Outlook kullanarak kendini mIRC istemci enfekte ederek IRC kanalları aracılığıyla yayılan bir multipartite virüsdür.
Virüs bulaşmış bir disketteki bir bilgisayarda, virüs bulaşmış bir DOS EXE dosyası olarak veya bir e-posta iletisinde virüslü bir ek olarak görünebilir.
Virüsün hiçbir yükü yoktur ve kendisi dışında herhangi bir şekilde kendini göstermez - dosyayı siler:
C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR
Virüs, bu dosyayı, eski bir INT 13h yolunu kullanarak disket disk sektörlerini çalıştırmaya zorlamak için bu dosyayı silmeye ihtiyaç duyuyor (bu, virüsün disk enfeksiyonu ve gizlilik yordamlarını çalıştırması için gereklidir, aşağıya bakın).
Virüslü bir diskten önyükleme
Virüs bulaşan bir diskten yüklenir, virüs INT 13h (disk erişimi) ve INT 1Ch (zamanlayıcı) kancalar. Bir zamanlayıcı kanca kullanarak, bir sistem önyükleme kadar virüs bekler, sonra INT 21h (DOS işlevleri) kancalar ve çalıştırılan DOS EXE dosyalarını bozar. INT 13h'yi çırparak, virüs disketlere erişir ve önyükleme kesimlerini etkilemektedir. Virüs, aynı zamanda, virüslü disk sektörlerine erişim sağlayarak bir işlevi {stealth: Stealth} gerçekleştirir.
Etkilenen DOS EXE dosyası çalıştırılıyor
Virüs bulaşmış bir DOS EXE dosyasından çalıştırıldıktan sonra virüs, sabit sürücünün MBR sektörüne bulaşır, DOS EXE düşürücüsünü oluşturur ve kaydeder, e-posta ile yayılacak bir VBS komut programı oluşturur ve IRC kanallarına gönderilecek bir mIRC komut dosyası oluşturur. .
Virüs damlacığı ANGELA.EXE adı vardır ve C: WINDOWSSYSTEM dizininde oluşturulur (Windows başka bir dizinde yüklü ise, virüs IRC'ye ve e-postaya yayılamaz). Bu dosya, C: AUTOEXEC.BAT dosyasındaki her yeniden başlatma için çalışacak şekilde kaydedilir. Virüs, her yeniden başlatma üzerine bu dosyayı çalıştırmak için oraya bir komut yazar ve bu dosyaya yorumlar ekler:
@EKO KAPALI
c: windowssystemangela.exe
REM - ÇIKARMAYIN!
Virüs damlalığı virüs bulaşmış DOS EXE dosyasında yaptığı gibi aynı yapar; Örneğin, virüs bileşenlerinden (VBS veya mIRC betiği) herhangi biri silinirse, virüs bir sonraki yeniden başlatma sonrasında yeniden oluşturacaktır.
Posta
Virüs, Windows başlangıç dizininde ANGELA.VBS dosyasını oluşturur ve sonuç olarak, bu betik her Windows açılışında aktif hale gelir. Komut dosyasındaki program MS Outlook'a erişim, adres defteri kayıtları alır ve orada bulunan ilk 20 adrese bir virüs kopyası (ANGELA.EXE damlalık) gönderir. Mesaj var:
Konu: Sonunda bulundu!
Gövde: Bana istediğin dosyalar ...
Ek adı: angela.exe
Komut dosyası daha sonra VBS dosyasını siler ve aynı Windows seance sırasında daha fazla virüslü mesaj gönderilmez, ancak bilgisayar yeniden başlatıldığında txtxt, ANGELA.EXE damlalığı AUTOEXEC.BAT'den etkinleştirilir ve VBS yeniden oluşturulur. postalama rutini.
IRC kanalları enfekte
Virüs, SCRIPT.INI dosyasını C: MIRC dizininde oluşturur. Bu betik, virüslü IRC kanalına katılan tüm kullanıcılara bir ANGELA.EXE damlalık gönderir.
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com