BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win9x.Yobe

Sınıf Virus
Platform Win9x
Açıklama

Teknik detaylar

Bu tehlikeli bir bellek yerleşik paraziter Windows virüs. Yalnızca Win95 / 98 altında geçerli olan ve NT altında yayılamayan sistem çağrılarını kullanır. Virüs de hatalara sahiptir ve genellikle çalıştırıldığında sistemi durdurur. Buna rağmen, virüsün yayılma alışılmadık bir yolu vardır ve teknik açıdan yeterince ilginçtir.

Virüs sadece iki dosyada bulunabilir: disketteki "SETUP.EXE" ve C: sürücüsünün kökünde "SETUP .EXE" (dosya adı ile ".EXE" uzantısı arasında bir boşluk var).

Disketlerde, virüs kopyasını saklamak için bir numara kullanır. Komple kodunu son disk sektörlerine yazar ve bu kodu okumak ve yürütmek için SETUP.EXE dosyasını değiştirir.

Virüs bulaşan SETUP.EXE dosyası, bir 512-byte DOS EXE programı gibi görünüyor, ama değil. Bu dosyaya virüs bulaşırken bir DirII virüsü yöntemi kullanılır: doğrudan disk sektörleri okuma / yazma çağrılarıyla virüs, disk dizini sektörlerine erişir, "ilk dosya kümesi" alanını değiştirir ve disk FAT tablolarında gerekli değişiklikleri yapar. Sonuç olarak, özgün SETUP.EXE kodu değiştirilmez, ancak dizin, özgün dosya kümeleri yerine virüs koduna işaret eder.

Virüs bulaşmış disketten bulaştığı SETUP.EXE çalıştırıldığında, virüsün bu DOS bileşeni, floppy diskteki son sektörlerden tam virüs gövdesini okur, sonra "C: SETUP .EXE" dosyasını oluşturur, yazar Bu veri (tam virüs kodu) orada ve yürütür. Virüs yükleme rutini denetimi alır, virüsü sisteme yükler ve disket sürücüsündeki SETUP.EXE dosyasını dezenfekte eder.

Kendisini sisteme yüklerken, virüs her Windows yeniden başlatıldığında kendisini etkinleştirmek için sistem kayıt defterinde yeni bir anahtar oluşturur:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
  YOBE = "" C: SETUP .EXE "YOBE"

Virüs daha sonra Windows çekirdek düzeyine geçer (Ring0), bir sistem belleği bloğu ayırır, kendisini oraya kopyalar ve disk dosyalarına erişim Windows işlevlerini (IFS API) çırpar. Bu kanca, dosya açma çağrılarını keser ve A: sürücüsündeki SETUP.EXE dosyasını açtıktan sonra virüs onu enfekte eder.

Virüsün ek rutinleri var. Birincisi, bunlardan biri "AVP Monitor" ve "Amon Antivirus Monitor" pencerelerini arar ve kapatır; İkincisi, rastgele sayaca bağlı olarak, ekranın sol tarafındaki "YOBE" kelimeleri ile bir satır görüntüler.


Orijinaline link