BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win16.Gollum

Sınıf Virus
Platform Win16
Açıklama

Teknik detaylar

Bu, Windows ve Windows95 altında "yerleşik kalır", disk dosya erişimi kancalar ve DOS EXE dosyalarını bozar parazit bir virüstür. Bu, Windows ve DOS – iki farklı platformları etkiler, çünkü bu multipartite virüs. Virüs, ne Taşınabilir Yürütülebilir (PE) ne de Yeni Yürütülebilir (NE) Windows EXE dosyalarını etkilemez, ancak Windows'da DOS EXE dosyalarını yakalayıp etkilemek için VxD sürücüsü olarak kalır. Yani, virüs Windows dosyalarını, Windows bellek bulaşmaz ve DOS bellek bulaşmaz, ancak DOS EXE dosyaları bulaşmaz.

Virüs bulaşmış bir DOS EXE dosyası yürütüldüğünde, virüs sadece VxD'sini (GOLLUM.386 dosyası) bırakır, Windows SYSTEM.INI dosyasında kaydeder, ana bilgisayar programına döner ve başka bir eylem gerçekleştirmez. Windows başladığında, bu virüs VxD'yi yükler, virüs kontrolü ele alır, V86 zincirini keser ve DOS EXE dosyalarını bozar. GOLLUM.386 damlalık, 6516 bayt uzunluğuna sahipken, DOS EXE dosyalarına 7167 bayt ekler.

Enfekte DOS EXE Dosyası

DOS EXE dosyasındaki virüs, NOT (XOR 0FFh) komutuyla şifrelenir. Bu nedenle, virüslü bir dosya yürütüldüğünde, virüs kendini kontrol eder ve şifresini çözer. Şifre çözme komutunun döngüsünde bir anti-hata ayıklama hilesi bulunur ve virüs kodu analiz edilirken dikkatli olunmalıdır.

Virüs sonra Windows SYSTEM.INI dosyasını arar. Virüs tarafından kullanılan beş isim vardır:


C: WINDOWSSYSTEM.INI
C: WINSYSTEM.INI
C: WIN31SYSTEM.INI
C: WIN311SYSTEM.INI
C: WIN95SYSTEM.INI
Böyle bir dosya yoksa, virüs VxD'yi düşürmez ve ana programa geri döner. Aksi takdirde, Windows dizinindeki GOLLUM.386 dosyasını (virüs VxD) oluşturur ve bu VxD'yi yükleyen komutu SYSTEM.INI dosyasına ekler:

DEVICE = GOLLUM.386
Bu komut [386Enh] bölümüne eklenmiştir – virüs "[386" dizesini arar ve bu komutu oraya yazar:

SYSTEM.INI enfeksiyon öncesi ve sonrası
… …
[386Enh] [386Enh]
mouse = * vmd DEVICE = GOLLUM.386

Fare = * vmd

Virüs VxD'yi iki kez düşürmez – "GOLLU" dizesi için SYSTEM.INI dosyasını tarar ve bu dizgi bulunursa, enfeksiyon rutinini sonlandırır.

VxD dosyasında virüs

Virüs VxD (GOLLUM.386 dosya) LE (Lineer Executable) formatına sahiptir. Bu dosyada DOS EXE saplama standart metin video moduna geçer ve metni görüntüler kısa bir rutin içerir:

Gollüm!
Bu dosyanın LE kısmı, başlangıç ​​yolunu (bulaşma yordamında kullanmak için) alır, depolar INT 21h (V86 kesme zinciri), INT 21h işleyicisi, bulaşma yordamı ve virüs DOS EXE kodunu içeren yükleme yordamını içerir. INT 21h virüs işleyicisi üç aramayı durdurur: Yükleme ve Yürütme (4B00h), Sonlandır (4C00h) ve Dizin Değiştirme (3Bh).

Bir dosya yürütüldüğünde, virüs sadece adını kaydeder ve kontrolü geri döndürür. Enflasyon rutin Terminate çağrısı kontrolünü ele geçirir. İlk başta virüs, dosya adını kontrol eder. Bu dosyaları sadece C: sürücüsüne bulaşır ve dosyaları SCAN *. *, F-PR *. *, TB *. * (SCAN, F-PROT, ThunderByte ile ilgili programlar) yanı sıra dosya adı bulaştırmaz. 'V' harfi veya rakamı içerir. Virüs ayrıca 7167 bayttan daha az uzunluktaki dosyaları da etkilemez.

Virüs daha sonra dosyayı açar, başlığını okur ve kontrol eder. Virüs, EXE damgasını (dosya başlangıcında MZ) ve NewExe işaretlerini denetler, ancak başarısız olur ve bazı durumlarda DOS EXE olarak NewExe dosyalarını bozar. Bu dosyaları bozabilir. Yinelenen bulaşmayı önlemek için virüs, CRC alanını (EXE başlığında 12 saat) iki bayt (52h 43h (ASCII "RC") ile karşılaştırır.

Virüs sonra DOS virüslerinin çoğunluğu tarafından kullanılan standart bir şekilde dosyaya bulaşır – bu dosyanın sonuna kodunu (DOS ve VxD parçaları) yazar ve EXE üstbilgi (giriş noktası ve yığın başlangıç ​​değerleri, modül boyutu ve değiştirir tanımlayıcı "RC"). VxD yazarken, kod / veri erişim ihlali önlemek için virüs, virüs VxD yüklenirken saklanan başlangıç ​​yolunda onu GOLLUM.386'dan kopyalar.

Enfeksiyon rutin tamamlandı ve virüs dosya kapatır yanı sıra dosya öznitelikleri ve dosya tarih ve zaman damgası geri yükler.

Tetik Rutinleri

Virüs 4 Haziran'da kurulurken, Windows bu metni bir sistem hata iletisi olarak görüntülemeye zorlayan bir metinle sistem iletisi gönderir:

Griyo / 29A tarafından GoLLuM ViRuS
Karanlık suların derinliklerinde yaşadığı eski Gollum, küçük bir sümük
yaratık. Nereden geldiğini, kim ya da ne olduğunu bilmiyorum. o
iki büyük yuvarlak solgun göz dışında bir Gollum karanlık bir karanlıktı
onun ince yüzünde.
JRR ToLkieN … HoBBit
Devam etmek için herhangi bir tuşa basın
Bir dizin seçilmesiyle (INT 21h Dizin Çağrısı değiştir) virüs sistem zamanlayıcısını alır ve değerine bağlı olarak (olasılık 1/256 ile) geçerli dizinde GOLLUM.EXE dosyasını oluşturur ve VxD GOLLUM.386 dosyasını oraya kopyalar. Bu EXE dosyası DOS altında yürütüldüğünde, DOS saplama yordamını görüntüler:

Gollüm!
Antivirüs bütünlüğü denetleyicileri tarafından algılamayı önlemek için virüs veritabanlarını siler: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Virüs ayrıca dizeleri içerir:


GriYo / 29A tarafından Microsoft Windows için GoLLuM ViRuS
GPTrap_DDB


Orijinaline link