BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win16.RedTeam

Sınıf Virus
Platform Win16
Açıklama

Teknik detaylar

Bu virüs, Windows EXE dosyalarını (NewExe) bozar ve Eudora e-postasını kullanarak kendisini Internet'e gönderir – Windows'a bulaşan ve Internet üzerinden yayılan ilk bilinen virüsdür. Virüslere bulaşmak için virüs Windows hafızasında kalır, daha sonra çalıştırılan NE dosyalarını bozar. Eudora e-postasını etkilemek için virüs, posta veritabanının dahili biçimini ayrıştırır ve "bulaşmış" iletileri ekler. Virüs, yalnızca Eudora e-posta sistemi bilgisayara yüklüyse Internet'e yayılabilir, ancak virüslü mesajların alıcıları yalnızca Eudora'yı değil, herhangi bir standart e-posta sistemini kullanabilir.

Tabii ki virüs, virüslü bir mesajdan kendini otomatik olarak çalıştıramaz. Enfekte bir mesaj açıldığında ve okunduğunda sistemi etkileyemez. Virüsü yaymak için, virüs bulaşmış EXE ekinin çıkarılması ve çalıştırılması gerekir. Tam olarak bunu yapmak için (ekli dosyayı ayıklamak ve yürütmek için) iletinin metni kullanıcıyı ikna eder.

Virüs, vahşi ortamda bulunmadı, ancak yayınlanmak, küresel bilgisayar ağında gerçek bir tehlike olarak görünebilir çünkü kendisini yaymak en popüler OS (Windows) ve en popüler e-posta sistemlerinden (Eudora) yararlanır ).

Virüs kodunun uzunluğu ve veri 4766 bayttır. Virüs, virüs gövdesinde bulunan metin dizelerinden sonra seçildi (virüslü dosyalarda şifrelenir):


<< – KIRMIZI TAKIM – >> (C) Ruh Yöneticisi.
Avustralya'da yapıldı – 06.97.
Öyleyse, Herr Kurtzhals – F / Win Kırmızı Takımı takip edebilir mi?

EXE bulaşıyor

NewEXE dosyalarını enfekte ederken virüs orada yeni bir segment oluşturmaz – kod segmentinin adresini hesaplar, dosyanın kalanını aşağı taşır ve kendini bu mağaraya yazar. Virüs kod segmentinin boyutunu artırır ve sonuç olarak yasal programın kodunun bir parçası olarak kalır. Virüs ayrıca, NE başlığı ve yer değiştirme tablolarında gerekli alanları da düzeltir. Virüs daha sonra giriş noktasının başlangıç ​​adresini veya KRNL286 / 386.EXE durumunda sistem rutinlerinin yama adreslerini değiştirir.

Virüs bulaşmış bir dosya, virüs bulaşmamış ortamın altında yürütüldüğünde, virüs kontrolü ele geçirir ve Win16 Kernel modülünü (KRNL286.EXE veya KRNL386.EXE) arar. Bu dosya bulunduğunda, virüs açılır ve onu enfekte eder. Virüs, giriş noktası adresini değiştirmez, bunun yerine WINEXEC veya INITTASK rutinlerinin adreslerini değiştirir. Windows 3.xx durumunda virüs WINEXEC rutininin yeni adresini belirler, Windows95 / NT durumunda virüs INITTASK rutiniyle aynıdır (çünkü Windows95 / NT WINEXEC'i çağırmaz).

KRNL? 86.EXE modüllerini (Windows 3.xx veya Windows95 / NT) ayırmak için virüs, CALLPROC32W işlevi verildiğinde adı kullanır, yalnızca 32 bit Windows95 / NT'de sunar.

Virüs daha sonra kontrolü ana programa döndürür ve başka bir eylem gerçekleştirmez. Sonuç olarak, virüs ilk kez çalıştırıldığında, sistem belleğinde herhangi bir kod bırakmaz – sadece Windows 'Kernel16 modülünü bozar.

Hafıza saklıyor

Windows bulaşmış Kernel ile yüklendiğinde, virüs sistem belleğinde Kernel'in bir parçası olarak kalır – bunu yapmak için özel bir eylem gerekmez; çünkü virüs kodu orijinal Kernel'in rutinleri ile aynı kod segmentine yerleştirilir. Virüs ayrıca sistem olaylarını kancalamak için herhangi bir eylem gerçekleştirmez, çünkü bunlar enfeksiyon sırasında zaten bağlanmışlardır – WINEXEC veya INITTASK adresi zaten virüs işleyicisine işaret eder.

Windows 3.xx altında virüs WINEXEC'yi kancalar, böylece çalıştırılan dosyaları bozar. Virüs bunu oldukça zekice yapar – kontrolü derhal WINEXEC işleyicisine geçirir ve sonra arka planda bir dosyaya bulaşır, yani uygulama enfekte ortamlarda yürütüldüğünde gecikme olmaz. Bu virüs için oldukça önemlidir, çünkü genellikle Windows 3.xx, eski yavaş PC'ye yüklenir ve yürütme gecikmeleri kullanıcıyı uyarır.

Windows95 / NT altında virüs INITTASK'ı kancalar, böylece programlar kendilerini sisteme kaydettiklerinde kontrolü durdurur. Virüs, GetExePtr işlevinin yardımıyla, etkin olan ve bunları etkileyen tüm NE uygulamaları için Modül Kollarını kullanır.

E-postayı Infecting

1/8 olasılıklı bir dosyaya bulaşırken (metin dizgisini şifrelemek için kullanılan tuşa bağlı olarak) virüs bu kodu değiştirir, böylece bu zamana bulaşmış dosya Eudora çıkış kutusuna bulaşmış E-posta iletilerini engelleyen bir yordamı etkinleştirir. Böyle bir dosya Eudora veritabanlarının yerleştirildiği dizinde yürütüldüğünde, virüs Eudora veri dosyalarını açar: NNDBASE.TOC, OUT.TOC, OUT.MBX. İlk dosya ("Nick adları veritabanı"), virüsün virüs bulaşmış bir mesaj göndereceği alıcıların isimlerini almak için virüs tarafından kullanılır. Enfekte mesaj OUT.MBX'e (Outbox veritabanı) yerleştirilir ve gerekli referanslar OUT.TOC dosyasına yerleştirilir.

Mesajın bir konusu "Kırmızı Takım", metni ve ekli EXE dosyasını içerir. Metin şöyle görünür:


————————————————– ——————–
Selam!
Sadece seni yıkıcı yeni bir e-posta virüsü hakkında uyarabileceğimi düşündüm.
İşte bazı bilgiler:
> "Kırmızı Takım" virüsü, üzerinden yayılan karmaşık yeni bir bilgisayar virüsüdür
> Microsoft Windows işletim sistemi ve İnternet E-Posta. olmasına rağmen
> E-Mail ile yayılan ilk virüs değildir ("İyi Zamanlar" idi),
> Red Team virüsü, yıkıcı yeteneklerinde benzersizdir.
> Dahası, virüs aşırı derecede yaygındır – zaten
> Batı Avrupa, ABD, Rusya, Avustralya ve
> Japonya. Kısacası, heryerde.
>
> QUEST'te, bu virüsü analiz etmek için birkaç hafta geçirdik ve gurur duyuyoruz
> Sonunda bir tedaviye sahip olduğumuzu açıklamak için! "K-RTEAM" isimli program
> (Red Team Kill), herhangi bir Microsoft Windows ortamında çalıştırılabilir ve
> Red Team virüsünün güvenilir şekilde algılanması (ve çıkarsa kaldırılması)
> sistem arabelleklerinizi.
>
> –
> Julia Blumin
> QUALCOMM Kurumsal Yazılım Teknolojileri
> World Wide Web: http://www.qualcomm.com
Seni uyarmam gerektiğini düşündüğüm sebep, geçenlerde bir koşmamız oldu.
bu canavarla. Neyse ki mükemmel bir kopyasını almayı başardık
Yıkımdan önce 'K-RTEAM' programı başladı. Her ihtimale karşı
aynı talihsizliğiniz olmalı, bu programa dahil oldum
sen de.
Hoşçakal!
PS Bu yeni tehdidin tüm arkadaşlarınızı uyardığınızdan emin olun!
————————————————– ——————–
Virüs gövdesindeki bu metin sıkıştırılmıştır, bu nedenle virüs, Eudora çıkış kutusuna kaydedilmeden önce sıkıştırılır. Ekli EXE dosyası NE üstbilgisine sahip ve K-RTEAM.EXE ("Red Team Kill") olarak adlandırılır, 6351 bayt uzunluğundadır. Virüs sadece bilgisayarda yayılan virüslü bir şey yapma programıdır (virüs, C: sürücüsünde C: K-RTEAM.EXE oluşturur). Bu dosyanın başlığında ve sonunda metin dizeleri vardır:

K-RTEAM – Kırmızı Takım Anti-Virüs
K-RTEAM
Kırmızı Takım Virüs Bulundu!
Virüs kaldırılsın mı?
Virüs kaldırıldı!
Virüs kaldırılamadı!
Virüs, aynı virüslü bilgisayardan iki kez mesaj göndermez. Bunu yapmak için virüs bulaşmış mesajlar gönderirken RTBASE.TOC dosyasını oluşturur. Bir dahaki sefere virüs bu dosyayı arar ve bu dosya dizinde görüntülenirse E-posta bulaşma yordamını sonlandırır.

In-lab

Virüs, Windows 3.xx altında kendini çoğaltır ve laboratuardaki deneyler sırasında hiçbir yan etkisi yaşamadı – tüm dosyalar doğru şekilde bulaşmış, programlar bozulmamış ve Windows herhangi bir uyarı / hata mesajı göstermemiştir.

Virüs ayrıca damlalıklarını Eudora çıkış kutusunun içinde hiçbir sorun olmadan sakladı. Virüs bulaşan mesajlar daha sonra internet üzerinden gönderildi ve doğru şekilde alındı.

Windows95 / NT altında virüs bir sorun var – KRNL386.EXE enfekte edemez ve sonuç olarak kendini bellek yerleşik yükleyemezsiniz. Hata oldukça aptalca – virüs değişken "NE Header Offset" için Word (DW) saklar, ancak DoubleWord (DD) olarak kullanır. Bu DoubleWord'un ikinci sözcüğü Windows sürüm bayrağı: Windows3.xx ise, Windows 95 / NT ise FFFFh. Yani Windows 95 / NT altında virüs bu değişkenden yanlış değer alıyor.

Buna rağmen, Windows 3.xx altında virüs bulaşan dosyalar Windows95 / NT altında herhangi bir sorun olmadan çalışmakta ve Windows 3.xx altında olduğu gibi Eudora veri tabanına da bulaşabilmektedir. Dahası, bu aptal böcek kolayca düzeltilebilir ve bir Windows95 uyumlu sürümü virüs yazarı tarafından serbest bırakılabilir.


Orijinaline link