BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Virus Win16

Virus.Win16.RedTeam

Sınıf
Virus
Platform
Win16

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: Win16

No platform description

Açıklama

Teknik detaylar

Bu virüs, Windows EXE dosyalarını (NewExe) bozar ve Eudora e-postasını kullanarak kendisini Internet'e gönderir - Windows'a bulaşan ve Internet üzerinden yayılan ilk bilinen virüsdür. Virüslere bulaşmak için virüs Windows hafızasında kalır, daha sonra çalıştırılan NE dosyalarını bozar. Eudora e-postasını etkilemek için virüs, posta veritabanının dahili biçimini ayrıştırır ve "bulaşmış" iletileri ekler. Virüs, yalnızca Eudora e-posta sistemi bilgisayara yüklüyse Internet'e yayılabilir, ancak virüslü mesajların alıcıları yalnızca Eudora'yı değil, herhangi bir standart e-posta sistemini kullanabilir.

Tabii ki virüs, virüslü bir mesajdan kendini otomatik olarak çalıştıramaz. Enfekte bir mesaj açıldığında ve okunduğunda sistemi etkileyemez. Virüsü yaymak için, virüs bulaşmış EXE ekinin çıkarılması ve çalıştırılması gerekir. Tam olarak bunu yapmak için (ekli dosyayı ayıklamak ve yürütmek için) iletinin metni kullanıcıyı ikna eder.

Virüs, vahşi ortamda bulunmadı, ancak yayınlanmak, küresel bilgisayar ağında gerçek bir tehlike olarak görünebilir çünkü kendisini yaymak en popüler OS (Windows) ve en popüler e-posta sistemlerinden (Eudora) yararlanır ).

Virüs kodunun uzunluğu ve veri 4766 bayttır. Virüs, virüs gövdesinde bulunan metin dizelerinden sonra seçildi (virüslü dosyalarda şifrelenir): 

<< - KIRMIZI TAKIM - >> (C) Ruh Yöneticisi.Avustralya'da yapıldı - 06.97.Öyleyse, Herr Kurtzhals - F / Win Kırmızı Takımı takip edebilir mi?

EXE bulaşıyor

NewEXE dosyalarını enfekte ederken virüs orada yeni bir segment oluşturmaz - kod segmentinin adresini hesaplar, dosyanın kalanını aşağı taşır ve kendini bu mağaraya yazar. Virüs kod segmentinin boyutunu artırır ve sonuç olarak yasal programın kodunun bir parçası olarak kalır. Virüs ayrıca, NE başlığı ve yer değiştirme tablolarında gerekli alanları da düzeltir. Virüs daha sonra giriş noktasının başlangıç ​​adresini veya KRNL286 / 386.EXE durumunda sistem rutinlerinin yama adreslerini değiştirir.

Virüs bulaşmış bir dosya, virüs bulaşmamış ortamın altında yürütüldüğünde, virüs kontrolü ele geçirir ve Win16 Kernel modülünü (KRNL286.EXE veya KRNL386.EXE) arar. Bu dosya bulunduğunda, virüs açılır ve onu enfekte eder. Virüs, giriş noktası adresini değiştirmez, bunun yerine WINEXEC veya INITTASK rutinlerinin adreslerini değiştirir. Windows 3.xx durumunda virüs WINEXEC rutininin yeni adresini belirler, Windows95 / NT durumunda virüs INITTASK rutiniyle aynıdır (çünkü Windows95 / NT WINEXEC'i çağırmaz).

KRNL? 86.EXE modüllerini (Windows 3.xx veya Windows95 / NT) ayırmak için virüs, CALLPROC32W işlevi verildiğinde adı kullanır, yalnızca 32 bit Windows95 / NT'de sunar.

Virüs daha sonra kontrolü ana programa döndürür ve başka bir eylem gerçekleştirmez. Sonuç olarak, virüs ilk kez çalıştırıldığında, sistem belleğinde herhangi bir kod bırakmaz - sadece Windows 'Kernel16 modülünü bozar.

Hafıza saklıyor

Windows bulaşmış Kernel ile yüklendiğinde, virüs sistem belleğinde Kernel'in bir parçası olarak kalır - bunu yapmak için özel bir eylem gerekmez; çünkü virüs kodu orijinal Kernel'in rutinleri ile aynı kod segmentine yerleştirilir. Virüs ayrıca sistem olaylarını kancalamak için herhangi bir eylem gerçekleştirmez, çünkü bunlar enfeksiyon sırasında zaten bağlanmışlardır - WINEXEC veya INITTASK adresi zaten virüs işleyicisine işaret eder.

Windows 3.xx altında virüs WINEXEC'yi kancalar, böylece çalıştırılan dosyaları bozar. Virüs bunu oldukça zekice yapar - kontrolü derhal WINEXEC işleyicisine geçirir ve sonra arka planda bir dosyaya bulaşır, yani uygulama enfekte ortamlarda yürütüldüğünde gecikme olmaz. Bu virüs için oldukça önemlidir, çünkü genellikle Windows 3.xx, eski yavaş PC'ye yüklenir ve yürütme gecikmeleri kullanıcıyı uyarır.

Windows95 / NT altında virüs INITTASK'ı kancalar, böylece programlar kendilerini sisteme kaydettiklerinde kontrolü durdurur. Virüs, GetExePtr işlevinin yardımıyla, etkin olan ve bunları etkileyen tüm NE uygulamaları için Modül Kollarını kullanır.

E-postayı Infecting

1/8 olasılıklı bir dosyaya bulaşırken (metin dizgisini şifrelemek için kullanılan tuşa bağlı olarak) virüs bu kodu değiştirir, böylece bu zamana bulaşmış dosya Eudora çıkış kutusuna bulaşmış E-posta iletilerini engelleyen bir yordamı etkinleştirir. Böyle bir dosya Eudora veritabanlarının yerleştirildiği dizinde yürütüldüğünde, virüs Eudora veri dosyalarını açar: NNDBASE.TOC, OUT.TOC, OUT.MBX. İlk dosya ("Nick adları veritabanı"), virüsün virüs bulaşmış bir mesaj göndereceği alıcıların isimlerini almak için virüs tarafından kullanılır. Enfekte mesaj OUT.MBX'e (Outbox veritabanı) yerleştirilir ve gerekli referanslar OUT.TOC dosyasına yerleştirilir.

Mesajın bir konusu "Kırmızı Takım", metni ve ekli EXE dosyasını içerir. Metin şöyle görünür: 

-------------------------------------------------- --------------------Selam!Sadece seni yıkıcı yeni bir e-posta virüsü hakkında uyarabileceğimi düşündüm.İşte bazı bilgiler:> "Kırmızı Takım" virüsü, üzerinden yayılan karmaşık yeni bir bilgisayar virüsüdür> Microsoft Windows işletim sistemi ve İnternet E-Posta. olmasına rağmen> E-Mail ile yayılan ilk virüs değildir ("İyi Zamanlar" idi),> Red Team virüsü, yıkıcı yeteneklerinde benzersizdir.> Dahası, virüs aşırı derecede yaygındır - zaten> Batı Avrupa, ABD, Rusya, Avustralya ve> Japonya. Kısacası, heryerde.>> QUEST'te, bu virüsü analiz etmek için birkaç hafta geçirdik ve gurur duyuyoruz> Sonunda bir tedaviye sahip olduğumuzu açıklamak için! "K-RTEAM" isimli program> (Red Team Kill), herhangi bir Microsoft Windows ortamında çalıştırılabilir ve> Red Team virüsünün güvenilir şekilde algılanması (ve çıkarsa kaldırılması)> sistem arabelleklerinizi.>> -> Julia Blumin> QUALCOMM Kurumsal Yazılım Teknolojileri> World Wide Web: http://www.qualcomm.comSeni uyarmam gerektiğini düşündüğüm sebep, geçenlerde bir koşmamız oldu.bu canavarla. Neyse ki mükemmel bir kopyasını almayı başardıkYıkımdan önce 'K-RTEAM' programı başladı. Her ihtimale karşıaynı talihsizliğiniz olmalı, bu programa dahil oldumsen de.Hoşçakal!PS Bu yeni tehdidin tüm arkadaşlarınızı uyardığınızdan emin olun!-------------------------------------------------- --------------------
Virüs gövdesindeki bu metin sıkıştırılmıştır, bu nedenle virüs, Eudora çıkış kutusuna kaydedilmeden önce sıkıştırılır. Ekli EXE dosyası NE üstbilgisine sahip ve K-RTEAM.EXE ("Red Team Kill") olarak adlandırılır, 6351 bayt uzunluğundadır. Virüs sadece bilgisayarda yayılan virüslü bir şey yapma programıdır (virüs, C: sürücüsünde C: K-RTEAM.EXE oluşturur). Bu dosyanın başlığında ve sonunda metin dizeleri vardır: 
K-RTEAM - Kırmızı Takım Anti-VirüsK-RTEAMKırmızı Takım Virüs Bulundu!Virüs kaldırılsın mı?Virüs kaldırıldı!Virüs kaldırılamadı!
Virüs, aynı virüslü bilgisayardan iki kez mesaj göndermez. Bunu yapmak için virüs bulaşmış mesajlar gönderirken RTBASE.TOC dosyasını oluşturur. Bir dahaki sefere virüs bu dosyayı arar ve bu dosya dizinde görüntülenirse E-posta bulaşma yordamını sonlandırır.

In-lab

Virüs, Windows 3.xx altında kendini çoğaltır ve laboratuardaki deneyler sırasında hiçbir yan etkisi yaşamadı - tüm dosyalar doğru şekilde bulaşmış, programlar bozulmamış ve Windows herhangi bir uyarı / hata mesajı göstermemiştir.

Virüs ayrıca damlalıklarını Eudora çıkış kutusunun içinde hiçbir sorun olmadan sakladı. Virüs bulaşan mesajlar daha sonra internet üzerinden gönderildi ve doğru şekilde alındı.

Windows95 / NT altında virüs bir sorun var - KRNL386.EXE enfekte edemez ve sonuç olarak kendini bellek yerleşik yükleyemezsiniz. Hata oldukça aptalca - virüs değişken "NE Header Offset" için Word (DW) saklar, ancak DoubleWord (DD) olarak kullanır. Bu DoubleWord'un ikinci sözcüğü Windows sürüm bayrağı: Windows3.xx ise, Windows 95 / NT ise FFFFh. Yani Windows 95 / NT altında virüs bu değişkenden yanlış değer alıyor.

Buna rağmen, Windows 3.xx altında virüs bulaşan dosyalar Windows95 / NT altında herhangi bir sorun olmadan çalışmakta ve Windows 3.xx altında olduğu gibi Eudora veri tabanına da bulaşabilmektedir. Dahası, bu aptal böcek kolayca düzeltilebilir ve bir Windows95 uyumlu sürümü virüs yazarı tarafından serbest bırakılabilir.

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
20 March 2024
Securelist
Android malware, Android malware and more Android malware
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.