Virus.Multi.Navrhar

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: Multi

No platform description

Açıklama

Teknik detaylar

Bu, hem MS Word belgelerini hem de Windows95 VxD sürücülerini etkileyen bir çoklu virüsdür. Virüs bulaşma yolunda birkaç adım kullanır - virüslü belgeden veya VxD'den başlayarak, orijinal ana bilgisayar dosyasıyla aynı biçime sahip dosyaları enfekte etmek için üç adımda bulunur: Word belgesi -> PE EXE damlacığı -> VxD sürücüsü -> Word belgesi ve yakında.

Virüs bulaşmış bir dosya Word tarafından açıldığında, virüs PE kısmını disklere bırakır ve onu yürütür. Bu damlalık, Windows95 VxD sürücüleri arar ve onları enfekte eder. Windows sürücülerini yüklediğinde, virüs "yerleşik kalır", sistem çağrılarını kancalar ve açılan belgeleri bozar.

+ --------- + + --------- + + --------- + + --------- +| Enfekte | -> | PE EXE | -> | + --------- + -> | + --------- + ->belge | damlalık | || VxD | || + --------- + ->| | | | sürücüler | ||| Belgeler | ->| | | | || | ||| || | | | || | ||| |+ --------- + + --------- + + | | + || |+ --------- + + | |+ --------- +

"Overlay" Enfeksiyon Yolu

Hem VxD dosyalarında hem de Word belgelerinde virüs, verilerini ve kodunu depolamak için oldukça zekice bir yol kullanır. Her iki dosya türünde de virüs, asıl belgenin / sürücünün gövdesine sadece bir virüs yükleyiciyi yerleştirir - ana virüs kodunu yükleyen ve çalıştıran küçük bir program. Virüs bulaşmış Word belgelerinde, bu yükleyici, Word Basic'te (diğer tüm Word makro virüslerinin yanı sıra) yazılmış kısa bir makrodur, VxD'de küçük bir 32 bitlik bir programdır.

Ana virüs kodu, Word belgesinin ve VxD'nin gerçek gövdesinin dışına yerleştirilir - virüs bulaştığı sırada bu ana kod dosyanın sonuna eklenir ve ana dosya / veri dosyasının koduna "bağlanması" için gerekli düzeltmeler yapılmaz. Bir bindirme verisi / kodu gibi görünüyor - bu kod, herhangi bir şekilde ana dosya yapısına bağlı değildir ve ana dosyadaki kod ve verilerden (virüs yükleyicisi hariç) bu bindirme için referans yoktur.

Enfekte Windows95 VxD: Enfekte Word belgesi:+ ------------ + + ------------ +| Orijinal | | Orijinal || VxD kodu | belge |+ ------------ + | veri |Virüs yükleyici | <- 32 bit + ------------ ++ ------------ + program | Virüs yükleyici | <- makro programı| Geri kalan | + ------------ + <- yasal belge verilerinin sonu| VxD kodu | Ekstra veri | <- virüs ana kodu / verileri| ve veriler | | || | + ------------ + <- disk dosyasının sonu| |+ ------------ + <- yasal VxD kodunun sonuEkstra veri | <- virüs ana kodu / verileri| |+ ------------ + <- disk dosyasının sonu

Windows böyle bir VxD'yi yüklediğinde, fazladan veri / kodlara dikkat etmez ve belleğe yüklemez. Word virüslü belgeyi açarken, bu ekstra verileri belleğe de yüklemez, ayrıca bir belgeyi kapatırken bu verileri keser. Virüsün böyle bir bindirmeye erişmesinin tek yolu, virüslü belgeyi / VxD'yi bir disk dosyası olarak açmak, bindirmeye çalışmak ve okumaktır ve virüs bunu yapar.

Farklı nesneleri enfekte ederken virüs, farklı "kaplama" verisi yapıları nedeniyle uzunluklarını farklı sayılarla artırır. Belgelerin uzunluğu 17245 bayt artar, VxD sürücüleri de enfeksiyondan sonra sonunda 12288 bayta sahiptir, virüs damlalıklı RUNME.EXE uzunluğu 16208 bayttır.

Enfekte bir belgeyi açmak

Bugünlerde enfeksiyon almanın en yaygın yolu enfekte olmuş programları değil, virüslü belgeleri almıyor. Yani, 100: 1 ile bir kullanıcı, virüslü bir VxD'yi değil, virüslü bir belgeyi alır ve açar (programcılar hariç VxD'leri değiştirir mi?).

Virüs makro yükleyiciye virüslü belgelerde AutoOpen adı verilir - bu, otomatik makrodur ve belge açıldığında otomatik olarak Word tarafından yürütülür. Bu makro bir bellek bloğu (HeapAlloc Word işlevi) ayırır, ana bilgisayar dosyasını (belge) açar, bindirme verilerini (ana virüs kodu) arar, okur ve yeni oluşturulan C: RUNME.EXE dosyasına düşer (CreateFileA tarafından), SetFilePointer, ReadFile, WriteFile, CloseHandle işlevleri).

Sonra virüs makro C: RUNME.EXE dosyasını (Word "Kabuk" komutuyla) yürütür ve C: RUNME.EXE virüs damlalık denetimi alır, bulur ve Windows sürücüleri bulaşır.

VxD Sürücülerinin Enfekte Edilmesi

İlk olarak, RUNME.EXE yürütüldüğünde, Windows sürümü 3.xx veya daha az ise, virüs kodu Windows sürümünü denetler ve hemen çıkar, (Bu gezinmeyi gerçekten gerekli kılar - RUNME.EXE 32-bit PE'dir -program, bu yüzden eski Windows'lar altında çalıştıramaz.

Virüs daha sonra Windows dizinini bulur, SİSTEM alt dizinine atlar, VxD dosyalarının kümesini arar ve bunlara bulaşır:

EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD

VxD dosyalarına bulaşan virüs, iç yapılarını ayrıştırır ve değiştirir, yükleme kodunu dosyanın ortasına yazar ve ana kodunu dosyanın sonuna ek veri olarak ekler.

Windows VxD sürücüleri LE EXE iç dosya formatına (Lineer Executable) sahiptir. Bu formatın anlaşılması oldukça karmaşıktır - DOS EXE dosya biçiminden çok daha karmaşıktır, Windows NewEXE dosya biçiminden daha karmaşıktır. Taşınabilir Yürütülebilir (PE) biçime benzer, ancak kesinlikle farklıdır.

Virüsün VxD'leri enfekte ederken yaptığı tüm detayları tanımlamak çok sayıda sayfa alacaktır. Kısacası: LE Giriş Tablosu ve Nesne Tablolarını okur, VxD kod bölümünü arar ve yamaları okur. LE dosyaları bölüm (sayfa) yapısına sahiptir. Eğer kod / tarih bölümleri kapsamazsa, bölüm sadece sınırına kadar sıfır bayt ile doldurulur. Virüs bu özelliği kullanır ve sadece bölümdeki gerçek kod uzunluğunu arttırır ve bölüm içinde yeterli boş alan varsa, onun yükleyici kodu (214 byte) ekler.

Yinelenen bulaşmayı önlemek için virüs yalnızca dosyanın tarih ve zaman damgasını kullanır - bu dosyaları virüs bulaşırken yeni tarih ve saat ayarlar ve bulaşmadan önce denetler. Bu tarih / saat 4 Ocak 1997, 04:28. Birisi bu damgayı virüslü VxD dosyaları için değiştirirse, virüs onları iki kez ve daha fazla kez enfekte eder.

Virüs, RUNME.EXE damlalık aktif olduğunda ne de herhangi bir zamanda, yukarıda listelenen diğer VxD dosyaları için bakmaz. Virüs ayrıca VXD'leri enfekte ettikten sonra RUNME.EXE silmez, bu yüzden kullanıcı bu ismi el ile çalıştırırsa, bu dosyayı el ile çalıştırabilir.

Belgeleri Infect

Windows95 virüslü VxD'yi yüklediğinde, virüs yükleyicisi (virüslü belgelerde yükleyici ile benzer şekilde) bellek bloğunu ayırır, ana bilgisayar dosyasının sonuna "son şeklini" okuyabilmek için arar, veri olarak okur ve sonra program olarak çalışır. (Windows 95 çekirdek koruması vivat!). Virüs yükleyici kontrolü alır, IFS API'yi kancalar ve OpenFile çağrılarını durdurur.

Herhangi bir dosya açıldığında, virüs dosya adı uzantısını ".DOC" ile karşılaştırır, dosya üstbilgisini okur ve OLE2 damgası için denetler, ardından iç OLE2 biçimlerini ayrıştırır, AutoOpen adlı yeni belgenin sonunda oluşturur, makro yükleyicisini yazar. orada ve ana kodunu "overlay" olarak ekler. Virüs ayrıca Microsoft belgelerini Şablon formatına dönüştürür - sıradan Word makro virüsleri ile aynıdır.

Virüs, sektöre hizalı olmayan dosya uzunluğuna sahip belgeleri (dokümanları hizalamamış olduktan sonra kalmaz) etkilemez - bu virüs virüs bulaşmış ve virüs bulaşmamış belgeleri ayırmak için kullanır. Virüs ayrıca, 800Kb'den daha büyük boyutlarda belgeleri de etkilemez - virüs bulaşma yordamı, yalnızca büyük belgelerin biçimlerini ayrıştıramaz (bu belgelerde ek alanlar görünür). Virüs, dahili tanımlayıcıyı belgelerde kontrol eder ve sadece PanEuro Word 6/7 formatına sahipse bunları etkiler.

MS Word, virüs bulaşan dosyayı kaydederken (ve AutoOpen makrodan ayrılmadan) belgenin sonundaki virüs bindirme kodunu kesmeli ve Word 7.0 ile yaptığım deneylerde yaptım. Buna rağmen, DOC dosya adı uzantıları olan belgeler hemen virüs tarafından yeniden bulaşmıştı. DOC olmayan uzantı durumunda, dokümanlar yarı bulaşmış durumda kalır - virüs makrosu AutoOpen'e sahiptir, ancak virüs "overlay" verisine sahip değildir. Sonuç olarak, virüs bu tür belgeler açıldığında kendini yaymaz.

Virüs enfeksiyonu algoritması hata içermez. Bir şablonda zaten makro (lar) varsa, virüs belgelerin iç yapısını bozar ve bu makro (lar) görünmez kalır. İkincisi, virüs ortamının AutoOpen makroyu, Word ortamını (Araçlar / Makro / Sil veya Düzenleyici) kullanarak virüslü belgelerde kaldırması imkansızdır - Word bunu yapamaz ve standart Windows hata iletisi ile kilitlenir:

Bu program yasadışı işlem gerçekleştirdive kapatılacak.

Son Notlar

VxD sürücülerinin bulaşma yolu nedeniyle virüs, WindowsNT sistemini etkileyemez, ancak Windows 95 altında virüsle deneme yaparken hiçbir sorun tespit edilmedi (yukarıda açıklanan Word şablonları ile ilgili sorunlar dışında). Virüs hiçbir şekilde kendini göstermez ve Windows 95 altında çalışırken herhangi bir sistem hata mesajına neden olmaz.

Bana öyle geliyor ki VxD enfeksiyon rutininde bir hata var (virüs, LE Nesne Tablosunu doğru bir şekilde ayrıştırmıyor) ve virüs, "standart olmayan" VxD sürücülerini bozacak, ancak virüsün listesindeki tüm VxD'ler "virüs uyumlu" ve Windows95'i enfekte olmuş VxD'lerle çalıştırarak (iki kez enfekte olmuş) hiçbir soruna yol açmaz. Belki bu olası hata nedeniyle virüs yazarı, açılışlarında VxD enfeksiyonuna çağrı içermiyordu, ancak sadece Word belgeleri.

Virüsün birkaç metin dizesi vardır, bunların bir kısmı virüsün hata ayıklama modu sürümünün izleri gibi görünür:

DDB fixupp dosyasını bulamıyorbu dosyaya bulaşamazgeçerli vxd dosyası değilbaşarılı bulaşmışdosya enfekte

Diğer dizeler, VxD sürücülerini etkilerken kullanılan Windows işlevlerinin adlarını içerir:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTimeGetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFileSetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle

Görünür metin dizelerinin geri kalanı virüs yazarının ingilizce ve bazı hacker benzeri bir tarzda yazdığı yorumlar:

HZDS virüsü (dünya 1. direkt VxD enfektörü ve 2. Kelime 6/7 infektör)(c) Navrhar (İngilizce DESIGNeR), Slovakya, 21-oct-97Diz virüs tehlikesi Slovakya'nın Banska Bystrica şehrinde yazılmıştır.W l ¢ 0m 0 sa HZD $ vg sg ¡gZ!GZ: Vyv0j, sy & pount; m & Çirkin & pount; s, MG & pount ;, ¡gh m 0k.$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0l0 gs 0 y0 - �0 ly)M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)$ p0 s0 y * -Z1 (hs VX-æ¡ v)

Son metin bloğu çevirisi aşağıdaki gibi görünür:

HZDS virüs selamlama alanına hoş geldiniz!Greetz: Vyvojar, Ender, Kötü Lamer & Çirkin Luser, MGL,Kabus Joker,Özel Greets: Anarchy.6093'ün yazarı (1. olmak istedim ama onursana ait - maalesefBirçok sikikleri gider: HZDS, V1ado M. (Diktatör)Sponsorlu * -Zine (şimdiye kadarki en iyi VX-zine)

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com