Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Virus
Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Bu, PE EXE dosyalarını (Windows uygulamaları) ve MSI arşivlerini, Internet'ten "yükseltme" ve E-posta yayma yeteneklerine sahip olan, tehlikeli bir işlem başına bellek yerleşik Win32 virüsüdür. Virüs şifrelenir ve virüslü dosyalarda kendini gizlemek için "Giriş Noktası Gizleme" teknolojisini kullanır. Virüs yaklaşık 6K uzunluğundadır.
Virüs, anti-hata ayıklama araçları kullanır ve sistemde SoftICE veya başka bir hata ayıklayıcısı algılanırsa bir makineyi durdurur.
Virüs ayrıca Windows dosya korumasını da devre dışı bırakmaya çalışır. Bunu yapmak için, dosya korumasından sorumlu sistem dosyalarını bozar: DEFAILT.SFC dosyasının boş verileri (Win98 altında) veya SFCFILES.DLL (Win2000 altında) üzerine yazar. Bu hile Win98 altında çalışmalı ve sistemin SFCFILES.DLL dosyasına erişimi engellediği veya hemen yedeklemeden geri yüklediği Win2000 altında çalışmamalıdır.
enfeksiyon
* .EXE dosyalarını enfekte etmek için virüs, geçerli dizinde onları arar ve kendini dosya sonuna yazar. Denetim almak için, virüs program başlatma adresini değiştirmez, bunun yerine standart program alt yordamları üstbilgisini / altbilgisini arar ve bir altbilgiyi JMP_Virus yönergesiyle yamalar. Sonuç olarak, virüs bulaşmış bir dosyanın çalıştırıldığı anda etkinleştirilemez, daha ziyade virüslü bir rutin çalıştırıldığında (ilgili şube kontrol altına alındığında).
Virüs sonra virüslü programın bir bileşeni olarak bellekte kalır, birkaç dosya erişim işlevlerini kancalar ve virüslü program tarafından erişilen EXE dosyalarını bozar. Virüs, virüslü bir uygulamanın sonlandırıldığı andaki Windows hafızasında aktiftir.
Bazı durumlarda, bir NTFS makinesinde çalıştırıldığında virüs, virüslü dosyalarda ": HIV" adıyla ("filename.ext: HIV") ek bir NTFS akışı (ADS) oluşturur ve aşağıdaki "telif hakkı" metnini yazar:
Bu hücre, HIV virüsü ile enfekte olmuştur:
0xNNNNNNNN
NNNNNNNN virüs "nesil" sayıdır.
MSI arşivleri
Virüs ayrıca MSI arşivlerine erişimi de engeller, açar, PE EXE dosyalarını arar ve program giriş rutini üzerine yazılırken aşağıdaki mesajın görüntülendiği kodla yazılır:
[Win32.HiV] tarafından Benny / 29A
Bu hücre HIV virüsü ile enfekte olmuştur, nesil: 0xNNNNNNNN
NNNNNNNN virüs "nesil" sayıdır.
HTML dosyaları enfeksiyonu
Virüs ayrıca, geçerli dizinde * .HTML dosyalarını arar ve bunlara bir .XML uzantısı ekleyerek bunları XML dosyaları ile değiştirir:
Temiz dosya : File.html
Etkilenen dosya : File.html.xml
Virüs, virüs bulaşmış XML dosyalarını bir numara kullanarak gizler: Windows'un, XML dosyaları için uzantıları göstermemesine neden olan bir kayıt defteri anahtarı ayarlar; XML dosyaları simgesini değiştirir; ve standart HTML dosyaları simgesini buraya yerleştirir. Sonuç olarak, virüs bulaşmış HTML dosyaları (aslında virüs bulaştıktan sonra XML dosyalarıdır) Explorer tarafından dosya listesinde standart HTML dosyaları olarak görüntülenir. Bu nedenle, bir "File.html.xml" bulaşmış bir HTML dosyası simgesiyle "File.html" olarak gösterilecektir.
Virüs tarafından virüs bulaşmış HTML dosyalarına yazılan komut dosyası programı bir İnternet bölgesine erişim kazanır ve dosyayı oradan açar:
http://coderz.net/benny/viruses/press.txt
Gerçekte, bu bir TXT dosyası değil, Internet Explorer tarafından standart bir Web sayfası olarak işlenen (dosyanın TXT uzantısına sahip olmasına rağmen) bir XML dosyası değildir. Bir PRESS.TXT dosyasındaki komut dosyası programı, aynı siteden bir MSXMLP.EXE dosyasını indirir ve otomatik çalıştırılan Kayıt Defteri bölümüne kaydeder:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c: MSXMLP.EXE
Içinde bulunan MSXMLP.EXE dosya içinde yeni bir virüs sürümü ile standart bir Windows uygulamasıdır. Yani, virüs yazarı virüs bulaşmış makinelerde "yükseltebilir" veya bir Truva atı yükleyebilir.
E-posta yayılıyor
Virüs WAB veritabanını açar (Windows Adres Defteri), e-posta adreslerini buradan alır ve aşağıdakileri içeren mesajlar gönderir:
Gönderen : press@microsoft.com
Gönderilen: 2010/06/06 22:00
Konu : XML sunumu
Mesaj :Lütfen bu XML sunumunu kontrol edin ve fikrinizi bize gönderin.Eklenmiş dosya : press.txt
XML sunusu hakkında herhangi bir sorunuz varsa, bize yazın.
Teşekkür ederim,
XML geliştirme ekibi, Microsoft Corp.
Ekli PRESS.TXT dosyası, HTML dosyalarını enfekte ederken virüs tarafından kullanılan aynı XML betik programıdır. Dolayısıyla, bir kullanıcı PRESS.TXT'yi etkinleştirdiğinde, bilgisayara bir virüs kopyası indirilir ve sistem kayıt defterine kaydedilir.
Virüs bu PRESS.TXT dosyasını C: sürücü kök dizinine kaydeder: C: PRESS.TXT.
Mesaj gönderirken, virüs MAPI kütüphanesini kullanır, bu yüzden bilgisayarda yüklü olan Mail sistemine bağlı değildir.
Bilinen virüs sürümü, posta rutinde bir hatadır ve mesaj göndermede başarısız olur.
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com