BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf
Virus
Platform
Win16

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: Win16

No platform description

Açıklama

Teknik detaylar

Bu, Windows ve Windows95 altında "yerleşik kalır", disk dosya erişimi kancalar ve DOS EXE dosyalarını bozar parazit bir virüstür. Bu, Windows ve DOS - iki farklı platformları etkiler, çünkü bu multipartite virüs. Virüs, ne Taşınabilir Yürütülebilir (PE) ne de Yeni Yürütülebilir (NE) Windows EXE dosyalarını etkilemez, ancak Windows'da DOS EXE dosyalarını yakalayıp etkilemek için VxD sürücüsü olarak kalır. Yani, virüs Windows dosyalarını, Windows bellek bulaşmaz ve DOS bellek bulaşmaz, ancak DOS EXE dosyaları bulaşmaz.

Virüs bulaşmış bir DOS EXE dosyası yürütüldüğünde, virüs sadece VxD'sini (GOLLUM.386 dosyası) bırakır, Windows SYSTEM.INI dosyasında kaydeder, ana bilgisayar programına döner ve başka bir eylem gerçekleştirmez. Windows başladığında, bu virüs VxD'yi yükler, virüs kontrolü ele alır, V86 zincirini keser ve DOS EXE dosyalarını bozar. GOLLUM.386 damlalık, 6516 bayt uzunluğuna sahipken, DOS EXE dosyalarına 7167 bayt ekler.

Enfekte DOS EXE Dosyası

DOS EXE dosyasındaki virüs, NOT (XOR 0FFh) komutuyla şifrelenir. Bu nedenle, virüslü bir dosya yürütüldüğünde, virüs kendini kontrol eder ve şifresini çözer. Şifre çözme komutunun döngüsünde bir anti-hata ayıklama hilesi bulunur ve virüs kodu analiz edilirken dikkatli olunmalıdır.

Virüs sonra Windows SYSTEM.INI dosyasını arar. Virüs tarafından kullanılan beş isim vardır:

C: WINDOWSSYSTEM.INIC: WINSYSTEM.INIC: WIN31SYSTEM.INIC: WIN311SYSTEM.INIC: WIN95SYSTEM.INI
Böyle bir dosya yoksa, virüs VxD'yi düşürmez ve ana programa geri döner. Aksi takdirde, Windows dizinindeki GOLLUM.386 dosyasını (virüs VxD) oluşturur ve bu VxD'yi yükleyen komutu SYSTEM.INI dosyasına ekler:
DEVICE = GOLLUM.386
Bu komut [386Enh] bölümüne eklenmiştir - virüs "[386" dizesini arar ve bu komutu oraya yazar:
SYSTEM.INI enfeksiyon öncesi ve sonrası... ...[386Enh] [386Enh]mouse = * vmd DEVICE = GOLLUM.386...Fare = * vmd...
Virüs VxD'yi iki kez düşürmez - "GOLLU" dizesi için SYSTEM.INI dosyasını tarar ve bu dizgi bulunursa, enfeksiyon rutinini sonlandırır.

VxD dosyasında virüs

Virüs VxD (GOLLUM.386 dosya) LE (Lineer Executable) formatına sahiptir. Bu dosyada DOS EXE saplama standart metin video moduna geçer ve metni görüntüler kısa bir rutin içerir:
Gollüm!
Bu dosyanın LE kısmı, başlangıç ​​yolunu (bulaşma yordamında kullanmak için) alır, depolar INT 21h (V86 kesme zinciri), INT 21h işleyicisi, bulaşma yordamı ve virüs DOS EXE kodunu içeren yükleme yordamını içerir. INT 21h virüs işleyicisi üç aramayı durdurur: Yükleme ve Yürütme (4B00h), Sonlandır (4C00h) ve Dizin Değiştirme (3Bh).

Bir dosya yürütüldüğünde, virüs sadece adını kaydeder ve kontrolü geri döndürür. Enflasyon rutin Terminate çağrısı kontrolünü ele geçirir. İlk başta virüs, dosya adını kontrol eder. Bu dosyaları sadece C: sürücüsüne bulaşır ve dosyaları SCAN *. *, F-PR *. *, TB *. * (SCAN, F-PROT, ThunderByte ile ilgili programlar) yanı sıra dosya adı bulaştırmaz. 'V' harfi veya rakamı içerir. Virüs ayrıca 7167 bayttan daha az uzunluktaki dosyaları da etkilemez.

Virüs daha sonra dosyayı açar, başlığını okur ve kontrol eder. Virüs, EXE damgasını (dosya başlangıcında MZ) ve NewExe işaretlerini denetler, ancak başarısız olur ve bazı durumlarda DOS EXE olarak NewExe dosyalarını bozar. Bu dosyaları bozabilir. Yinelenen bulaşmayı önlemek için virüs, CRC alanını (EXE başlığında 12 saat) iki bayt (52h 43h (ASCII "RC") ile karşılaştırır.

Virüs sonra DOS virüslerinin çoğunluğu tarafından kullanılan standart bir şekilde dosyaya bulaşır - bu dosyanın sonuna kodunu (DOS ve VxD parçaları) yazar ve EXE üstbilgi (giriş noktası ve yığın başlangıç ​​değerleri, modül boyutu ve değiştirir tanımlayıcı "RC"). VxD yazarken, kod / veri erişim ihlali önlemek için virüs, virüs VxD yüklenirken saklanan başlangıç ​​yolunda onu GOLLUM.386'dan kopyalar.

Enfeksiyon rutin tamamlandı ve virüs dosya kapatır yanı sıra dosya öznitelikleri ve dosya tarih ve zaman damgası geri yükler.

Tetik Rutinleri

Virüs 4 Haziran'da kurulurken, Windows bu metni bir sistem hata iletisi olarak görüntülemeye zorlayan bir metinle sistem iletisi gönderir:
Griyo / 29A tarafından GoLLuM ViRuSKaranlık suların derinliklerinde yaşadığı eski Gollum, küçük bir sümükyaratık. Nereden geldiğini, kim ya da ne olduğunu bilmiyorum. oiki büyük yuvarlak solgun göz dışında bir Gollum karanlık bir karanlıktıonun ince yüzünde.JRR ToLkieN ... HoBBitDevam etmek için herhangi bir tuşa basın
Bir dizin seçilmesiyle (INT 21h Dizin Çağrısı değiştir) virüs sistem zamanlayıcısını alır ve değerine bağlı olarak (olasılık 1/256 ile) geçerli dizinde GOLLUM.EXE dosyasını oluşturur ve VxD GOLLUM.386 dosyasını oraya kopyalar. Bu EXE dosyası DOS altında yürütüldüğünde, DOS saplama yordamını görüntüler:
Gollüm!
Antivirüs bütünlüğü denetleyicileri tarafından algılamayı önlemek için virüs veritabanlarını siler: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Virüs ayrıca dizeleri içerir:

GriYo / 29A tarafından Microsoft Windows için GoLLuM ViRuSGPTrap_DDB

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Confirm changes?
Your message has been sent successfully.