BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win32.HIV

Sınıf Virus
Platform Win32
Açıklama

Teknik detaylar

Bu, PE EXE dosyalarını (Windows uygulamaları) ve MSI arşivlerini, Internet'ten "yükseltme" ve E-posta yayma yeteneklerine sahip olan, tehlikeli bir işlem başına bellek yerleşik Win32 virüsüdür. Virüs şifrelenir ve virüslü dosyalarda kendini gizlemek için "Giriş Noktası Gizleme" teknolojisini kullanır. Virüs yaklaşık 6K uzunluğundadır.

Virüs, anti-hata ayıklama araçları kullanır ve sistemde SoftICE veya başka bir hata ayıklayıcısı algılanırsa bir makineyi durdurur.

Virüs ayrıca Windows dosya korumasını da devre dışı bırakmaya çalışır. Bunu yapmak için, dosya korumasından sorumlu sistem dosyalarını bozar: DEFAILT.SFC dosyasının boş verileri (Win98 altında) veya SFCFILES.DLL (Win2000 altında) üzerine yazar. Bu hile Win98 altında çalışmalı ve sistemin SFCFILES.DLL dosyasına erişimi engellediği veya hemen yedeklemeden geri yüklediği Win2000 altında çalışmamalıdır.

enfeksiyon

* .EXE dosyalarını enfekte etmek için virüs, geçerli dizinde onları arar ve kendini dosya sonuna yazar. Denetim almak için, virüs program başlatma adresini değiştirmez, bunun yerine standart program alt yordamları üstbilgisini / altbilgisini arar ve bir altbilgiyi JMP_Virus yönergesiyle yamalar. Sonuç olarak, virüs bulaşmış bir dosyanın çalıştırıldığı anda etkinleştirilemez, daha ziyade virüslü bir rutin çalıştırıldığında (ilgili şube kontrol altına alındığında).

Virüs sonra virüslü programın bir bileşeni olarak bellekte kalır, birkaç dosya erişim işlevlerini kancalar ve virüslü program tarafından erişilen EXE dosyalarını bozar. Virüs, virüslü bir uygulamanın sonlandırıldığı andaki Windows hafızasında aktiftir.

Bazı durumlarda, bir NTFS makinesinde çalıştırıldığında virüs, virüslü dosyalarda ": HIV" adıyla ("filename.ext: HIV") ek bir NTFS akışı (ADS) oluşturur ve aşağıdaki "telif hakkı" metnini yazar:

Bu hücre, HIV virüsü ile enfekte olmuştur:

0xNNNNNNNN

NNNNNNNN virüs "nesil" sayıdır.

MSI arşivleri

Virüs ayrıca MSI arşivlerine erişimi de engeller, açar, PE EXE dosyalarını arar ve program giriş rutini üzerine yazılırken aşağıdaki mesajın görüntülendiği kodla yazılır:

[Win32.HiV] tarafından Benny / 29A
Bu hücre HIV virüsü ile enfekte olmuştur, nesil: 0xNNNNNNNN

NNNNNNNN virüs "nesil" sayıdır.

HTML dosyaları enfeksiyonu

Virüs ayrıca, geçerli dizinde * .HTML dosyalarını arar ve bunlara bir .XML uzantısı ekleyerek bunları XML dosyaları ile değiştirir:

Temiz dosya : File.html
Etkilenen dosya : File.html.xml

Virüs, virüs bulaşmış XML dosyalarını bir numara kullanarak gizler: Windows'un, XML dosyaları için uzantıları göstermemesine neden olan bir kayıt defteri anahtarı ayarlar; XML dosyaları simgesini değiştirir; ve standart HTML dosyaları simgesini buraya yerleştirir. Sonuç olarak, virüs bulaşmış HTML dosyaları (aslında virüs bulaştıktan sonra XML dosyalarıdır) Explorer tarafından dosya listesinde standart HTML dosyaları olarak görüntülenir. Bu nedenle, bir "File.html.xml" bulaşmış bir HTML dosyası simgesiyle "File.html" olarak gösterilecektir.

Virüs tarafından virüs bulaşmış HTML dosyalarına yazılan komut dosyası programı bir İnternet bölgesine erişim kazanır ve dosyayı oradan açar:

http://coderz.net/benny/viruses/press.txt

Gerçekte, bu bir TXT dosyası değil, Internet Explorer tarafından standart bir Web sayfası olarak işlenen (dosyanın TXT uzantısına sahip olmasına rağmen) bir XML dosyası değildir. Bir PRESS.TXT dosyasındaki komut dosyası programı, aynı siteden bir MSXMLP.EXE dosyasını indirir ve otomatik çalıştırılan Kayıt Defteri bölümüne kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HIV = c: MSXMLP.EXE

Içinde bulunan MSXMLP.EXE dosya içinde yeni bir virüs sürümü ile standart bir Windows uygulamasıdır. Yani, virüs yazarı virüs bulaşmış makinelerde "yükseltebilir" veya bir Truva atı yükleyebilir.

E-posta yayılıyor

Virüs WAB veritabanını açar (Windows Adres Defteri), e-posta adreslerini buradan alır ve aşağıdakileri içeren mesajlar gönderir:

Gönderen : press@microsoft.com
Gönderilen: 2010/06/06 22:00
Konu : XML sunumu
Mesaj :

Lütfen bu XML sunumunu kontrol edin ve fikrinizi bize gönderin.
XML sunusu hakkında herhangi bir sorunuz varsa, bize yazın.
Teşekkür ederim,
XML geliştirme ekibi, Microsoft Corp.

Eklenmiş dosya : press.txt

Ekli PRESS.TXT dosyası, HTML dosyalarını enfekte ederken virüs tarafından kullanılan aynı XML betik programıdır. Dolayısıyla, bir kullanıcı PRESS.TXT'yi etkinleştirdiğinde, bilgisayara bir virüs kopyası indirilir ve sistem kayıt defterine kaydedilir.

Virüs bu PRESS.TXT dosyasını C: sürücü kök dizinine kaydeder: C: PRESS.TXT.

Mesaj gönderirken, virüs MAPI kütüphanesini kullanır, bu yüzden bilgisayarda yüklü olan Mail sistemine bağlı değildir.

Bilinen virüs sürümü, posta rutinde bir hatadır ve mesaj göndermede başarısız olur.


Orijinaline link