BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Multi.Navrhar

Sınıf Virus
Platform Multi
Açıklama

Teknik detaylar

Bu, hem MS Word belgelerini hem de Windows95 VxD sürücülerini etkileyen bir çoklu virüsdür. Virüs bulaşma yolunda birkaç adım kullanır – virüslü belgeden veya VxD'den başlayarak, orijinal ana bilgisayar dosyasıyla aynı biçime sahip dosyaları enfekte etmek için üç adımda bulunur: Word belgesi -> PE EXE damlacığı -> VxD sürücüsü -> Word belgesi ve yakında.

Virüs bulaşmış bir dosya Word tarafından açıldığında, virüs PE kısmını disklere bırakır ve onu yürütür. Bu damlalık, Windows95 VxD sürücüleri arar ve onları enfekte eder. Windows sürücülerini yüklediğinde, virüs "yerleşik kalır", sistem çağrılarını kancalar ve açılan belgeleri bozar.


+ ——— + + ——— + + ——— + + ——— +
| Enfekte | -> | PE EXE | -> | + ——— + -> | + ——— + ->
belge | damlalık | || VxD | || + ——— + ->
| | | | sürücüler | ||| Belgeler | ->
| | | | || | ||| |
| | | | || | ||| |
+ ——— + + ——— + + | | + || |
+ ——— + + | |
+ ——— +

"Overlay" Enfeksiyon Yolu

Hem VxD dosyalarında hem de Word belgelerinde virüs, verilerini ve kodunu depolamak için oldukça zekice bir yol kullanır. Her iki dosya türünde de virüs, asıl belgenin / sürücünün gövdesine sadece bir virüs yükleyiciyi yerleştirir – ana virüs kodunu yükleyen ve çalıştıran küçük bir program. Virüs bulaşmış Word belgelerinde, bu yükleyici, Word Basic'te (diğer tüm Word makro virüslerinin yanı sıra) yazılmış kısa bir makrodur, VxD'de küçük bir 32 bitlik bir programdır.

Ana virüs kodu, Word belgesinin ve VxD'nin gerçek gövdesinin dışına yerleştirilir – virüs bulaştığı sırada bu ana kod dosyanın sonuna eklenir ve ana dosya / veri dosyasının koduna "bağlanması" için gerekli düzeltmeler yapılmaz. Bir bindirme verisi / kodu gibi görünüyor – bu kod, herhangi bir şekilde ana dosya yapısına bağlı değildir ve ana dosyadaki kod ve verilerden (virüs yükleyicisi hariç) bu bindirme için referans yoktur.


Enfekte Windows95 VxD: Enfekte Word belgesi:
+ ———— + + ———— +
| Orijinal | | Orijinal |
| VxD kodu | belge |
+ ———— + | veri |
Virüs yükleyici | <- 32 bit + ———— +
+ ———— + program | Virüs yükleyici | <- makro programı
| Geri kalan | + ———— + <- yasal belge verilerinin sonu
| VxD kodu | Ekstra veri | <- virüs ana kodu / verileri
| ve veriler | | |
| | + ———— + <- disk dosyasının sonu
| |
+ ———— + <- yasal VxD kodunun sonu
Ekstra veri | <- virüs ana kodu / verileri
| |
+ ———— + <- disk dosyasının sonu
Windows böyle bir VxD'yi yüklediğinde, fazladan veri / kodlara dikkat etmez ve belleğe yüklemez. Word virüslü belgeyi açarken, bu ekstra verileri belleğe de yüklemez, ayrıca bir belgeyi kapatırken bu verileri keser. Virüsün böyle bir bindirmeye erişmesinin tek yolu, virüslü belgeyi / VxD'yi bir disk dosyası olarak açmak, bindirmeye çalışmak ve okumaktır ve virüs bunu yapar.

Farklı nesneleri enfekte ederken virüs, farklı "kaplama" verisi yapıları nedeniyle uzunluklarını farklı sayılarla artırır. Belgelerin uzunluğu 17245 bayt artar, VxD sürücüleri de enfeksiyondan sonra sonunda 12288 bayta sahiptir, virüs damlalıklı RUNME.EXE uzunluğu 16208 bayttır.

Enfekte bir belgeyi açmak

Bugünlerde enfeksiyon almanın en yaygın yolu enfekte olmuş programları değil, virüslü belgeleri almıyor. Yani, 100: 1 ile bir kullanıcı, virüslü bir VxD'yi değil, virüslü bir belgeyi alır ve açar (programcılar hariç VxD'leri değiştirir mi?).

Virüs makro yükleyiciye virüslü belgelerde AutoOpen adı verilir – bu, otomatik makrodur ve belge açıldığında otomatik olarak Word tarafından yürütülür. Bu makro bir bellek bloğu (HeapAlloc Word işlevi) ayırır, ana bilgisayar dosyasını (belge) açar, bindirme verilerini (ana virüs kodu) arar, okur ve yeni oluşturulan C: RUNME.EXE dosyasına düşer (CreateFileA tarafından), SetFilePointer, ReadFile, WriteFile, CloseHandle işlevleri).

Sonra virüs makro C: RUNME.EXE dosyasını (Word "Kabuk" komutuyla) yürütür ve C: RUNME.EXE virüs damlalık denetimi alır, bulur ve Windows sürücüleri bulaşır.

VxD Sürücülerinin Enfekte Edilmesi

İlk olarak, RUNME.EXE yürütüldüğünde, Windows sürümü 3.xx veya daha az ise, virüs kodu Windows sürümünü denetler ve hemen çıkar, (Bu gezinmeyi gerçekten gerekli kılar – RUNME.EXE 32-bit PE'dir -program, bu yüzden eski Windows'lar altında çalıştıramaz.

Virüs daha sonra Windows dizinini bulur, SİSTEM alt dizinine atlar, VxD dosyalarının kümesini arar ve bunlara bulaşır:


EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,
MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,
SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,
VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD
VxD dosyalarına bulaşan virüs, iç yapılarını ayrıştırır ve değiştirir, yükleme kodunu dosyanın ortasına yazar ve ana kodunu dosyanın sonuna ek veri olarak ekler.

Windows VxD sürücüleri LE EXE iç dosya formatına (Lineer Executable) sahiptir. Bu formatın anlaşılması oldukça karmaşıktır – DOS EXE dosya biçiminden çok daha karmaşıktır, Windows NewEXE dosya biçiminden daha karmaşıktır. Taşınabilir Yürütülebilir (PE) biçime benzer, ancak kesinlikle farklıdır.

Virüsün VxD'leri enfekte ederken yaptığı tüm detayları tanımlamak çok sayıda sayfa alacaktır. Kısacası: LE Giriş Tablosu ve Nesne Tablolarını okur, VxD kod bölümünü arar ve yamaları okur. LE dosyaları bölüm (sayfa) yapısına sahiptir. Eğer kod / tarih bölümleri kapsamazsa, bölüm sadece sınırına kadar sıfır bayt ile doldurulur. Virüs bu özelliği kullanır ve sadece bölümdeki gerçek kod uzunluğunu arttırır ve bölüm içinde yeterli boş alan varsa, onun yükleyici kodu (214 byte) ekler.

Yinelenen bulaşmayı önlemek için virüs yalnızca dosyanın tarih ve zaman damgasını kullanır – bu dosyaları virüs bulaşırken yeni tarih ve saat ayarlar ve bulaşmadan önce denetler. Bu tarih / saat 4 Ocak 1997, 04:28. Birisi bu damgayı virüslü VxD dosyaları için değiştirirse, virüs onları iki kez ve daha fazla kez enfekte eder.

Virüs, RUNME.EXE damlalık aktif olduğunda ne de herhangi bir zamanda, yukarıda listelenen diğer VxD dosyaları için bakmaz. Virüs ayrıca VXD'leri enfekte ettikten sonra RUNME.EXE silmez, bu yüzden kullanıcı bu ismi el ile çalıştırırsa, bu dosyayı el ile çalıştırabilir.

Belgeleri Infect

Windows95 virüslü VxD'yi yüklediğinde, virüs yükleyicisi (virüslü belgelerde yükleyici ile benzer şekilde) bellek bloğunu ayırır, ana bilgisayar dosyasının sonuna "son şeklini" okuyabilmek için arar, veri olarak okur ve sonra program olarak çalışır. (Windows 95 çekirdek koruması vivat!). Virüs yükleyici kontrolü alır, IFS API'yi kancalar ve OpenFile çağrılarını durdurur.

Herhangi bir dosya açıldığında, virüs dosya adı uzantısını ".DOC" ile karşılaştırır, dosya üstbilgisini okur ve OLE2 damgası için denetler, ardından iç OLE2 biçimlerini ayrıştırır, AutoOpen adlı yeni belgenin sonunda oluşturur, makro yükleyicisini yazar. orada ve ana kodunu "overlay" olarak ekler. Virüs ayrıca Microsoft belgelerini Şablon formatına dönüştürür – sıradan Word makro virüsleri ile aynıdır.

Virüs, sektöre hizalı olmayan dosya uzunluğuna sahip belgeleri (dokümanları hizalamamış olduktan sonra kalmaz) etkilemez – bu virüs virüs bulaşmış ve virüs bulaşmamış belgeleri ayırmak için kullanır. Virüs ayrıca, 800Kb'den daha büyük boyutlarda belgeleri de etkilemez – virüs bulaşma yordamı, yalnızca büyük belgelerin biçimlerini ayrıştıramaz (bu belgelerde ek alanlar görünür). Virüs, dahili tanımlayıcıyı belgelerde kontrol eder ve sadece PanEuro Word 6/7 formatına sahipse bunları etkiler.

MS Word, virüs bulaşan dosyayı kaydederken (ve AutoOpen makrodan ayrılmadan) belgenin sonundaki virüs bindirme kodunu kesmeli ve Word 7.0 ile yaptığım deneylerde yaptım. Buna rağmen, DOC dosya adı uzantıları olan belgeler hemen virüs tarafından yeniden bulaşmıştı. DOC olmayan uzantı durumunda, dokümanlar yarı bulaşmış durumda kalır – virüs makrosu AutoOpen'e sahiptir, ancak virüs "overlay" verisine sahip değildir. Sonuç olarak, virüs bu tür belgeler açıldığında kendini yaymaz.

Virüs enfeksiyonu algoritması hata içermez. Bir şablonda zaten makro (lar) varsa, virüs belgelerin iç yapısını bozar ve bu makro (lar) görünmez kalır. İkincisi, virüs ortamının AutoOpen makroyu, Word ortamını (Araçlar / Makro / Sil veya Düzenleyici) kullanarak virüslü belgelerde kaldırması imkansızdır – Word bunu yapamaz ve standart Windows hata iletisi ile kilitlenir:


Bu program yasadışı işlem gerçekleştirdi
ve kapatılacak.

Son Notlar

VxD sürücülerinin bulaşma yolu nedeniyle virüs, WindowsNT sistemini etkileyemez, ancak Windows 95 altında virüsle deneme yaparken hiçbir sorun tespit edilmedi (yukarıda açıklanan Word şablonları ile ilgili sorunlar dışında). Virüs hiçbir şekilde kendini göstermez ve Windows 95 altında çalışırken herhangi bir sistem hata mesajına neden olmaz.

Bana öyle geliyor ki VxD enfeksiyon rutininde bir hata var (virüs, LE Nesne Tablosunu doğru bir şekilde ayrıştırmıyor) ve virüs, "standart olmayan" VxD sürücülerini bozacak, ancak virüsün listesindeki tüm VxD'ler "virüs uyumlu" ve Windows95'i enfekte olmuş VxD'lerle çalıştırarak (iki kez enfekte olmuş) hiçbir soruna yol açmaz. Belki bu olası hata nedeniyle virüs yazarı, açılışlarında VxD enfeksiyonuna çağrı içermiyordu, ancak sadece Word belgeleri.

Virüsün birkaç metin dizesi vardır, bunların bir kısmı virüsün hata ayıklama modu sürümünün izleri gibi görünür:


DDB fixupp dosyasını bulamıyor
bu dosyaya bulaşamaz
geçerli vxd dosyası değil
başarılı bulaşmış
dosya enfekte
Diğer dizeler, VxD sürücülerini etkilerken kullanılan Windows işlevlerinin adlarını içerir:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime
GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle
Görünür metin dizelerinin geri kalanı virüs yazarının ingilizce ve bazı hacker benzeri bir tarzda yazdığı yorumlar:

HZDS virüsü (dünya 1. direkt VxD enfektörü ve 2. Kelime 6/7 infektör)
(c) Navrhar (İngilizce DESIGNeR), Slovakya, 21-oct-97
Diz virüs tehlikesi Slovakya'nın Banska Bystrica şehrinde yazılmıştır.
W l ¢ 0m 0 sa HZD $ vg sg ¡gZ!
GZ: Vyv0j, sy & pount; m & Çirkin & pount; s, MG & pount ;, ¡gh m 0k.
$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0
l0 gs 0 y0 – �0 ly)
M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)
$ p0 s0 y * -Z1 (hs VX-æ¡ v)
Son metin bloğu çevirisi aşağıdaki gibi görünür:

HZDS virüs selamlama alanına hoş geldiniz!
Greetz: Vyvojar, Ender, Kötü Lamer & Çirkin Luser, MGL,
Kabus Joker,
Özel Greets: Anarchy.6093'ün yazarı (1. olmak istedim ama onur
sana ait – maalesef
Birçok sikikleri gider: HZDS, V1ado M. (Diktatör)
Sponsorlu * -Zine (şimdiye kadarki en iyi VX-zine)


Orijinaline link