Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Virus
Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Bu virüs Win32 (Win95 / 98 ve WinNT) altında yayılır ve PE EXE dosyalarını (Portable Executable) bozar. Virüs, Assembler'de yazılmış bir program için oldukça büyük bir boyuta sahiptir - yaklaşık 15Kb. Polimorfik virüsdür.
Bu virüsün en ilginç özelliği virüs bulaşmış EXE dosyalarını standart E-posta protokollerini kullanarak Internet'e gönderme kabiliyetidir (ayrıca bkz. E-posta yoluyla virüslü mesajlar gönderen diğer virüslere de bakınız: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).
Rastgele kontrole bağlı olarak, virüs ikinci İnternet erişim rutini çağırır. Bu sefer virüs kopyalarını yaymaz, sadece DialUp veritabanını arar ve virüsün yazarına gönderir.
Virüs kodunda yazarın "telif hakları" bulunur:
- GriYo / 29A tarafından Parvo BioCoded - Jacky Qwerty / 29A tarafından Win32 Teknik Destek- Fikirleri ve stratejileri için Darkman / 29A ve b0z0 / Ikx'e teşekkürler- Parvo bir araştırma ürünüdür, dağıtmayın- c1999 29A Labs ... Hayat yaratıyoruz -
Birçok virüs rutinleri (enfeksiyon, polimorfik) "Win95.Marburg" virüsünün sahip olduğu özelliklere sahiptir. Virüs kendisini son dosya bölümünün sonuna yazar; PE giriş adresini değiştirmez, fakat JMP_Virus komutunu kullanarak orijinal programın giriş kodunu ya da kontrolün virüs koduna geçmesini sağlayan bir önemsiz kod bloğu ile yamalar; vb
Virüs kontrol altına alındığında, polimorfik şifre çözme döngüsü ve ilave lite şifre çözme rutini, virüs kodunu geri yükler ve kontrolü ana virüs rutinine geçirir.
Virüs, CRC yöntemini kullanarak kodunu korur. CRC doğru değilse, kodunun CRC'sini hesaplar ve çıkar. Virüs için bu özellik, virüs bulaşmış dosyaları Internet üzerinden gönderdiğinden, CRC denetimi bozuk kopyaların yürütülmesini önlediği için gerekli görünmektedir.
Virüs daha sonra Windows çekirdeğini tarar ve virüs tarafından kullanılan dosya erişimi, arama ve diğer API işlevlerini arar. API işlevlerini ararken virüs, adlarını değil, sağlama toplamlarını kullanmaz. Windows çekirdeğinde gerekli dizeyi bulmak için virüs sadece CRC'lerini tek tek hesaplar ve sonuçları virüs kodunda kaydedilmiş önceden hesaplanmış değerler tablosuyla karşılaştırır.
Diskteki dosyaları etkilemek için virüs, geçerli Windows ve Windows sistem dizinlerinde bunları arar. Virüs ayrıca, yüklenen İnternet tarayıcısını ve E-posta okuyucusunu içeren dizinlerdeki dosyaları da etkiler. Virüs, bu dizin adlarını Sistem Kayıt Defterinden alır.
Virüs bulunan tüm dosyaları, ancak sadece belirli isimleri olan dosyaları bulaşmaz: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE ve diğer bazı. Dosya adlarını karşılaştırmak için virüs, API işlevlerini ararken olduğu gibi sağlama yöntemi de kullanır.
Denetimi ana programa döndürmek için virüs kopyasını seçili bir adla oluşturur, dezenfekte eder ve çalıştırır. Virüs daha sonra ana bilgisayar dosyasının çıkmasını bekler, böylece virüs kodu ana bilgisayar programının sona erdiği andaki bellekte kalır. Virüs kodu hafızada uzun süre kalabilir, ancak virüs hafızaya alınmaz. Herhangi bir sistem olayını kancalamaz ve onları açmak için dosya açma / yürütme işlemini engellemez.
Virüs bulaşan dosyaları Internet'e göndermek için, virüs standart Windows işlevlerini kullanarak Internet'e bağlanır, rastgele seçilmiş bir E-posta adresi alır, ona bir aldatmaca mesaj gönderir ve virüs bulaşmış EXE damlalık mesajına iliştirir (aşağıdaki mesajların metnine bakınız). Bir kurbanın e-posta adresini almak için virüs birkaç haber grubuna gider, rastgele seçilmiş mesajı okur ve orada Dize dizesini arar. Bu kimlik metni bulunduğunda, virüs bulaşan mesajı göndermek için takip edilen adresi kullanır.
Virüslü dosya adı üç olası değişkenden seçilir: MSEFIXI.EXE, LSERIAL.EXE veya HOTEENS.EXE. Mesajlar (başlıklar dahil) ayrıca üç varyanttan seçilir:
Mesaj 1 ------------------------------------------------ -------------
mail from: support@microsoft.com from: support@microsoft.com rcpt to: rastgele seçilmiş adres: rasgele seçilmiş adres Konu: Microsoft Internet Explorer ve Outlook Express kullanarak mevcut güvenlik riski
Yeni ve tehlikeli bir virüs internete çarptı.
AÇIKLAMA:
E-posta istemcisi çok uzun bir dosya adına sahip bir ek içeren kötü amaçlı bir posta veya haber iletisi aldığında, e-postanın istemci iş istasyonunda otomatik olarak rasgele kod yürütmesine ve böylece makineye bulaşmasına neden olabilir.
Microsoft, bu sorunun en başından beri farkındaydı ve burada, kullandığı ürünlerimizin ikisi için bir yama sunuyor.
Windows 98, Windows 98 ve Microsoft Windows NT Outlook 4.0 Outlook 98, Windows 95, Windows 98 ve Windows NT 4.0 Netscape posta istemcileri üzerinde 4.0 Outlook Express 4.0, 4.01 (4.01 Service Pack 1 dahil)
ÇÖZÜM:
Bu ürünleri Windows 95, Windows 98 veya Windows NT 4.0 için kullanan müşteriler eklenmiş yamayu çalıştırmalı veya aşağıdakilerden güncellenmiş bir yama indirmelidir:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Lütfen en kısa sürede bilgisayarlarınızı yamaları ve bu tehdide karşı İnternet'le mücadele etmemize yardımcı olun.
Zaman ayırdığın için teşekkürler.
Microsoft Desteği Mesaj 2 ------------------------------------------------ ------------- mail şu kişiden geldi: Merhaba Kayıtsız bir program için seri numarasına ihtiyacınız var mı? Her yerde aradığınızı hissediyor musunuz? Phrozen Crews Oscar'ın en yeni versiyonunda bile mi? Yukarıdaki soruların bazılarına -yes- cevabını verebilirseniz ve hala bir seri numarası arıyorsanız, bu sizin beklediğiniz program olabilir. Uzun yıllar seri numaralar topladık ve şimdi 15.000'den fazla seri numarası içeren seri numaramızın ilk versiyonunu yayınlamaktan gurur duyuyoruz. Bu mesaja eklediğimizde seri numarası koleksiyonumuzun ilk versiyonu. Sizin, Seri numarası toplayıcıları Mesaj 3 ------------------------------------------------ ------------- mail şu kişiden geldi: Sevgili potansiyel müşteri, 10.000.JPG'den fazla ve 1.000'den fazla .MPG / .VIV / .AVI / .MOV / etc ile yeni bir erotik site açtık. Size bir ömür boyu fırsat sunuyoruz, sizin görüşünüz karşılığında yeni sitemize ücret ödemeden aylık erişim veriyoruz. Tek yapmanız gereken, kişisel Kullanıcı Kimliğinizi oluşturacak ekli reklamı yürütmektir, kişisel kredi kartı numaranız gibi bilgileri bile vermeniz gerekmez. Sitemizi beğendiyseniz, lütfen tüm arkadaşlarınıza bizden bahsedin. http://www.hoteens.com/ HoTeens.com
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com
Daha fazlasını okuyun