Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 

Реклама на форуме

 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Самый ужасный вирус на сегодняшний день, Sobig
Rumata | Профиль
Дата 23 Августа, 2003, 15:14
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 100
Вне форума



Вирус Sobig оправдывает свое название (so big).

Последние данные сервис-провайдеров e-mail указывают на то, что эпидемия, вызванная новейшим вариантом вируса Sobig, стала самой крупной за всю историю компьютерных программ массовой почтовой рассылки.

Например, компания MessageLabs, специализирующаяся на фильтрации электронной почты, во вторник перехватила свыше миллиона сообщений, несущих в себе этот вирус, а конкурирующая фирма Postini выловила за одни сутки 2,6 млн зараженных писем. «Это самый быстрый вирус из всех, какие мы видели», говорит вице-президент Postini Скотт Петри. Обычно компания, по его словам, регистрирует гораздо меньше писем с вирусами около 500 тыс.

Во вторник и в среду новый вирус так наводнил корпоративные системы e-mail, что каждое сообщение приходилось дезинфицировать, прежде чем допустить в компьютер получателя. MessageLabs подсчитала, что вирус Sobig содержало почти каждое 17-е сообщение: это гораздо больше соотношений 1:275 и 1:138, отмечавшихся во время самой страшной до сих пор эпидемии вируса Klez.H.

Sobig.F, как и предыдущие версии вируса, в качестве подложного адреса отправителя рассылаемых им сообщений использует адрес e-mail, отличный от адреса жертвы. Многие антивирусные системы сигнализируют владельцу этого адреса, что его компьютер инфицирован, даже если известно, что злоумышленник изменил исходный адрес. В результате интернет-артерии засоряются еще больше. «Мы решили не реагировать на спам или вирусы, так как это быстро приводит к перегрузке сети», говорит Петри.

America Online тоже пришлось бороться с лавиной электронных сообщений. В обычные дни крупнейший в мире интернет-сервис-провайдер получает примерно 11 млн писем с вложениями, которые нужно проверять. Во вторник в компанию поступило около 31 млн таких сообщений, почти 11,5 млн из которых несли в себе вирус Sobig.F.

Вирус Sobig.F распространяется, отправляя письма по адресам, которые он берет с веб-страниц и из адресной книги зараженного компьютера. Вирус рассылает собственные копии в сообщениях, в строке subject которых значится Your Details; Re: Approved или Thank you!. Кроме того, вирус копирует себя на доступные для зараженного компьютера сетевые диски.

Вирус задал работу системным администраторам Массачусетского технологического института, Министерства обороны США и многих других организаций. Но он, как и предыдущие его версии, имеет встроенную дату отключения: данный вариант настроен на прекращение распространения 10 сентября.

Однако этот факт, вместо того чтобы успокоить администраторов ISP, наводит их на мысль, что с каждым новым вариантом авторы семейства вирусов Sobig еще больше совершенствуются в своем черном деле. «Раз автор вируса Sobig использует встроенную дату дезактивации, значит, он обдумывает новые, усовершенствованные версии, говорится в заявлении главного технолога MessageLabs Марка Саннера. Каждый из известных вариантов Sobig превосходил предыдущий по скорости распространения и оказываемому эффекту в период первоначального окна активности».

www.softodrom.ru


____________________
Ничто так не сближает людей, как снайперский прицел
89/59690   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon
















_________________
Желающим разместить рекламу смотреть сюдой
/   
MaxLeRoi |
Дата 25 Августа, 2003, 11:28
Quote Post



Unregistered









знаем знаем smile.gif
у меня на рабочее мыло каждое 6-е сообщение с этим вирусом smile.gif
я сначала западозрил шо шото не ладное када в прошлый понедельник их 64 сообщений 12 были с относительно одинаковым размером и субжом wink.gif
не стал их получать - а потом уже услыхал про вирус сей smile.gif
ДА ЗДАРВСТВУЕТ БАТ с его - "получить заголовки" smile.gif smile.gif smile.gif
59/   
Dark_master |
Дата 10 Марта, 2004, 20:24
Quote Post



Unregistered









Не всё так погано на сегодняшний день как кажется! существует некое поколение вирусов о котором будет написано ниже.
Перечень самых простых, а так же и опасных вирусов и их описание ohmy.gif :
Walker.3846

Неопасный резидентный вирус. Перехватывает INT 16h, 21h. Периодически выводит на экран в текстовом режиме симпатичного шагающего человечка. Также вирус содержит строку "WALKER V1.00 - This absolutely harmless and selfdestructive program is written by UJHPTTLZ in the city of Istanbul, 1992".

Wally.1029

Очень опасный нерезидентный вирус. Может уничтожить содержимое первого жесткого диска и вывести текст "Virus Wally versao programa.Tente me encontrar.".

Waria.479

Неопасный нерезидентный вирус. Иногда пытается вывести на экран текст "byWARIA!v1.0", но у вируса это не получается.

Warlock.666

Неопасный нерезидентный шифрованный вирус. Заражает файлы после 15.00. Содержит строку "WARLOCK".

Warlock.732

Опасный резидентный вирус. Иногда игнорирует запись или форматирование некоторых секторов, выводя на экран в этот момент что-то похожее на помехи. Содержит текстовую строку "WarLock".

Warlock.1672, 1802, 1817

Опасные резидентные вирусы. В файлы, содержащие в начале байт со значением 3 (DBF-файлы) или 0 (Warlock.1672), записывают 32 байта C3h или 0. Warlock.1672 содержит текст "WARLOCK", а Warlock.1817 - "Revenge of WARLOCK!".

Warlock.2879

Очень опасный резидентный вирус. Уничтожает файлы, содержащие байт 3 в начале (DBF-файлы), а также все файлы, кроме EXE, после 30 заражений, записывая в их начало 32 байта. Содержит текст "WARLOCK".

Warrior.1024

Опасный нерезидентный вирус. Устанавливает в верхние адреса памяти свою резидентную копию и "перехватывает" INT 21h. При вызове функции записи в файл (f.40h Int 21h) резидентная копия вируса устанавливает адрес буфера записи на свой текст:
... and justice for all! (US constitution)
Dream Over ... ть резидентный код "на INT 8", который "трясет" экран. В начале
содержит текст "W.A.S.P.".

Wasp.1655

Опасный резидентный вирус. 3 числа пытается форматировать нулевую дорожку первого жесткого диска. В 20:00 выводит на экран текст:
ЪДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДї
і Hello - Im Your New Virus і
і - WASP - і
і A.J.Poshukaev Call Neighbour і
АДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
Содержит также строку: "Wasp"ver 1.0 - Underground Laboratory "FLY" - Moscow 1993

Watshira.2048 (1-3)

Неопасные резидентные вирусы, Watshira.2048 (3) - опасный вирус; 28 декабря он периодически зашифровывает и расшифровывает MBR жесткого диска. Watshira.2048 (1,2) содержат текстовую строку:
Producted by Mr.Watshira Sae-eu KMIT-NB Date 12/28/1990 BIOS
Watshira.2048 (3) содержит текст:
We are PRO Version 1.0 Producted by Mr.Watshira Sae-eu KMIT-NB Date Dec
28,1990 See U Next Version. BIOS SOIB

WeekDay.1614

Неопасный резидентный вирус. В качестве признака заражения файла устанавливает удвоенное значение дня недели создания файла в поле секунд.

Weirdo.555

Неопасный резидентный вирус-спутник. Копирует свой код в область EMS, оставляет в обычной памяти небольшой резидентный код "на INT 21h". При старте EXE-файла вирус копирует свой код из EMS в обычную память и создает COM-файл (вирус-спутник) с именем EXE-файла. Если при запуске оригинального EXE-файла, не хватает свободной памяти. то вирус выводит сообщение "Out of memory". Если же EXE-файл обнаружить не удалось, то вирус удаляет COM-файл, из которого он стартовал. Содержит строку "[Weirdo © 93 CC/TridenT]EMMXXXX0".

WereWolf.Beast.1192, 1208, WereWolf.FullMoon.1361, 1367, WereWolf.Scream.1152, 1158, 1168, WereWolf.Wulf (1,2), WereWolf.Howl.2662, 2845

Очень опасные резидентные вирусы. WereWolf.FullMoon,WereWolf.Wulf(1,2)- зашифрованы, WereWolf.Howl.2662, 2845 - полиморфные. Периодически уничтожают случайные сектора первых двух жестких дисков. Не заражают файлы, содержащие в своем имени следующие последовательности букв: CLEAN,AVP,TB, V,SCAN,NAV,IBM,FINDV,GUARD,FV,CHKDSK,F-. Содержат тексты:
WereWolf.Beast.1192,1208 - BEAST ©1995 WereWolf
WereWolf.Howl.2662,2845 - [HOWL]ease wait...
Data recovery
All data have been succesfully DELETED!
Thanks for your assistance.
Press to continue.
Wg.3822 заражает SYS-файлы, указанные через переменные DEVICE или DEVICEHIGH в файле C:\CONFIG.SYS. Резидентная копия Wg.3822 устанавливается в память только из инфицированных SYS-файлов. После чего эта резидентная копия может заражать EXE-файлы. Wg.3822 удаляет таблицы ревизора диска ADinf. Wg.3822 содержит текст "WG04m Copyright © 1995-1997 by WoodGoblin".

Whale.9216

Неопасный резидентный шифрованный стелс-вирус. Создает файл C:\FISH-#9.TBL, в который записывается содержимое MBR первого жесткого диска и текст "FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave". В период с 19 февраля по 20 марта "завешивает" систему и выводит текст:
THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG

Wherex.1688

Опасный резидентный вирус. В понедельник в 3:30 пытается вывести на экран текст:
GOLDEN FLOWERS!
VEGERATABLES!
PLEASE REMEMBER239 После чего уничтожает содержимое CMOS-памяти и сдвигает на 16 байт "вверх" содержимое сектора MBR, причем признак загрузки второго диска устанавливает в 0. Имеет текст "WHEREX".

WhiteAwe.2675

Неопасный резидентный полиморфный вирус. Иногда выводит на экран "летающего привидения", очень похожего на привидение-Карлсона из мультфильма по известной сказке Астрид Линдгрен, ждет нажатия на любую клавишу, после чего выводит текст "White Awe will appear later...".

Win.CyberRiot

Очень опасный "резидентный" вирус. Заражает EXE-файлы в формате NewExe. При старте инфицированного EXE-файла вирус пытается заразить модуль KERNEL (KERNEL286.EXE или KERNEL386.EXE, в зависимости от компьютера,на котором работает система). При заражении KERNEL вирус не создает новые секции модуля, а "раздвигает" уже имеющиеся и дописывает свой код в конец 2-ого кодового сегмента, а также он переустанавливает на себя адрес экспортируемой функции WinExec. В результате при загрузке такого зараженного модуля KERNEL, вирусный код остается "резидентным" в памяти и получает контроль ко всем запускаемым NewExe-программам через функцию WinExec. Эти запускаемые программы вирус заражает стандартным способом: создает новый кодовый сегмент в заголовке NE и записывает свой код в конец файла.В поле контрольной суммы NE-заголовка вирус записывает свой идентификатор "LROY". В зависимости от некоторых условий вирус выводит на экран MessageBox с заголовком "Chicago 7: Cyber riot" и помещает внутрь один из следующих текстов,после чего уничтожает содержимое диска. Сообщения вируса:
С 29 апреля по 1 мая:
Happy anniversary, Los Angeles!
Anarchists of the world, unite!
В пятницу между 1 и 13 числами:
When the levee breaks, I have no place to stay...
(Crying won't help you. Praying won't do you no good.)
С 26 по 31 декабря, 6 марта и после 1994 года:
Save the Whale, harpoon a fat cat.
Вирус содержит тексты:
USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren
Source code avaiable for $15,000,000. Serious inquiries only.
Why does IBM need to lay me off? Oh well, their loss.
McAfee's FUD equation: !!!!!!+??????=$$$$$$
Convict the pigs
This program was written in the cities of Hamburg, Chicago, Seattle and
Berkeley. Copyright © 1993 Klash/Skism/George J/Phalcon/Henry
Buscombe and 2 ex-Softies, collectively known as the Chicago 7.
Coming soon: Diet riot. Same great aftertaste--fewer bytes.

Win.Homer

Неопасный "резидентный" вирус. Написан на C++. Заражает NewExe-файлы формата Windows 3.1x. При старте инфицированного файла вирус остается Windows-задачей и "перехватывает" INT 21h. При запуске NewExe-файлов вирус заражает их. Существует предположение, что вирус перехватывает сетевые пакеты и может, используя File Transfer Protocol, передать свою копию на удаленный сервер в каталог INCOMING.

Win.Lamer

Неопасный нерезидентный полиморфный вирус. Заражает EXE-файлы в формате NewExe (файлы для MS-Windows). Данный вирус является первым представителем, использующим полиморфный механизм заражения для файлов MS-Windows. Вирус производит поиск *.EXE-файлов на текущем диске и их заражение, причем производится попытка поиска и заражения файлов в каталоге \WINDOWS на текущем диске. Содержит тексты "WinLamer2 ©Copyright Aug, 1995 by Burglar in Taipei, Taiwan." и "PME for Windows v0.00 © Jul 1995 By Burglar".

Win.Tentacle.1958

Неопасный нерезидентный вирус, заражающий NewExe *.EXE-файлы в текущем каталоге и в каталоге C:\WINDOWS. При нахождении NewExe файла вирус создает файл C:\TENTACLE.$$$, в который записывает инфицированную копию NewExe-файла. После чего исходный файл удаляется, а файлу TENTACLE.$$$ присваивается его имя. Иногда вирус может заместить текущую иконку, находящуюся в теле заражаемого файла на свою. На вирусной пиктограмме изображено щупальце осьминога и надпись "TENTACLE".

Win.Tentacle.10634

Неопасный нерезидентный вирус, заражающий NewExe *.EXE-файлы в текущем каталоге и в каталогах C:\WIN,C:\WINDOWS,C:\WIN31, C:\WIN311, C:\WIN95. Процедура заражения похожа на процедуру вируса Win.Tentacle.1958, но Win.Tentacle.10634 при заражении не изменяет точку входа NE-файла.Вирус создает новый кодовый сегмент, в который записывает свой код, и соответствующую этому сегменту - сегментную секцию в заголовке NE. Для того, чтобы получить управление вирус изменяет один элемент в таблице перемещаемых элементов. Вирус ищет ссылку на процедуру KERNEL -INITTASK или на процедуру VBRUN300 - THUNRTMAIN и заменяет ее на свой стартовый код. Процедуры INITTASK и THUNRTMAIN вызываются практически сразу при старте Windows-программ. В результате вместо вызова этих стандартных процедур произойдет вызов вирусного кода. После поиска и заражения файлов вирус отдает управление этим процедурам, которые в свою очередь вернут управление инфицированной программе-носителю. При обнаружении файла WINHELP.EXE вирус исправляет команду условного перехода (74 ??) на безусловный переход (EB ??). При старте инфицированной программы с часу до двух часов ночи, вирус создает файл C:\TENTACLE.GIF и записывает в него изображение щупальца осьминога в GIF-формате. В поле "Extensions" для просмотра *.GIF-файлов вирус записывает имя "своего" GIF-файла - C:\TENTACLE.GIF. В результате при просмотре любого GIF- файла система будет всегда показывать щупальце осьминога. Для этих манипуляций вирус использует вызовы SHELL: REGSETVALUE и REGQUERYVALUE.

Win.Twitch (1,2)

Неопасные нерезидентные вирусы-спутники. Производят поиск NewExe *.EXE- файлов, присваивают им расширение OVL и записывают свой код под оригинальным именем файла. Содержат тексты:
BOOT SHELL SYSTEM.INI PATH TEMP OVL \ CHKLIST.CPS *.EXE
NETWARE FILEMAN SCRNSAVE WINPRINT WINDOWS
DeviceSelectedTimeout
LOAD .EXE \SYSTEM SYSEDIT.EXE NWPOPUP.EXE

Win.Vik (1-3)

Неопасные нерезидентные вирусы. Производят поиск и заражение NewExe *.EXE и *.DLL - файлов в текущем каталоге. Win.Vik (2,3) содержат текст "© 1994 American Eagle Publications Inc., All rights reserved.".

Win.Vir1.4

Неопасный нерезидентный вирус, заражающий файлы в формате NewExe. Содержит текст "Virus_for_Windows v1.4".

Win.Winsurf.1171, 1432

Неопасные резидентные вирусы, заражающие файлы в формате NewExe (NE). При запуске инфицированной программы, вирусы проверяют наличие DPMI и присутствие своих копий в памяти компьютера. Если резидентные копии вирусов не установлены и DPMI-интерфейс существует,то вирусы производят поиск строки "windir=" в своем окружении (environment), открывают файл SYSTEM.INI в каталоге, указанном в переменной "windir=", ищут в данном файле строку "shell=" и производят заражение файла,следующего за данной строкой. Обычно строка "shell=" для MS-Windows 3.xx указывает на файл PROGMAN.EXE (Program Manager). Данная программа является резидентной в течение всего сеанса работы MS-Windows. Т.о., вирус,внедренный в данную программу, также будет являться резидентным. Вирусы с помощью DPMI "перехватывают" INT 21h, "контролируют" запуск программ (Exec f.4bh Int 21h) и заражают NewExe-файлы.

Win.Wintiny

Неопасный нерезидентный вирус. Содержит текст "WinTiny ©Copyright June, 1995 by Burglar in Taipei, Taiwan.".

Win32.Cabanas (5)

Win32.Cabanas является первым из известных вирусов, поражающих файлы семейства 32хразрядных операционных систем Microsoft Windows (Win32s/Windows 95/Windows NT). Данный вирус умеет не только заражать файлы в формате PortableExecutable, но оставаться резидентно на текущий сеанс работы инфицированной программы в любой из перечисленных выше операционных систем. Все существовавшие до сих пор вирусы, написанные для Windows 95, не умели корректно заражать файлы, предназначенные для работы в Windows NT, т.к., хотя файлы для Windows 95 и Windows NT и имеют одинаковый PE - формат, но все же некоторые поля в заголовке PE у них различаются. Поэтому при заражении файлов Windows NT, вирусам необходимо предпринимать дополнительные действия для корректной модификации PE- заголовка. Иначе система Windows NT выдаст ошибку на этапе загрузки данного файла. Также представляется определенной проблемой для вирусов- это определение базовых адресов WIN32 KERNEL API в памяти,т.к., Windows 95 и Windows NT располагают модуль KERNEL32.DLL в разных адресах памяти. Но Win32.Cabanas прекрасно справляется с данными проблемами. При старте инфицированного файла вирус получает управление, распаковывает и расшифровывает собственную таблицу WIN32 KERNEL API имен процедур, необходимых ему для последующей работы и приступает к определению базового адреса KERNEL32.DLL и адресов всех интересующих его функций WIN32 KERNEL API. Во время заражения файла вирус анализирует таблицу импортируемых функций (Import Table) с целью нахождения имен функций GetModuleHandleA, и GetProcAddress. При нахождении данных имен вирус запоминает в своем коде смещения адресов данных процедур, находящихся в Import Table (как правило, в сегменте .idata). Если имена перечисленных процедур вирусом не будут найдены, то Win32.Cabanas в дальнейшем, при запуске инфицированного файла, будет использовать другой недокументированный способ нахождения базового адреса KERNEL32 и адресов WIN32 KERNEL API. Но этот недокументированный способ содержит ошибки и работает некорректно в среде Windows NT. Итак, если адреса импортируемых функций GetModuleHandleA или имеются в Import Table инфицированного файла, то вирус без проблем, с помощью процедуры GetProcAddress, определяет все адреса WIN32 KERNEL API. Если адресов интересующих его функций в Import Table нет, то вирус с помощью некоторых ухищрений пытается определить адрес GetProcAddress в таблице экспортируемых функций KERNEL32. Но, как уже отмечалось выше, для Windows NT данный вирусный механизм не работает из-за ошибок, и, как следствие, нормальная "жизнедеятельность" вируса окажется невозможной. Это единственная серьезная ошибка Win32.Cabanas, из-за которой у него возникают проблемы при распространении в среде Windows NT. Зато в Windows 95 чувствует себя, "как рыба в воде" и безо всяких трудностей (в случае отсутствия адресов функций GetModuleHandleA или ) определяет базовый адрес KERNEL32.DLL и функции GetProcAddress другим недокументированным способом. При помощи функции GetProcAddress вирус может получить адрес любой интересующей его процедуры WIN32 KERNEL API. Что он и делает: получает адреса и запоминает их. Далее вирус запускает свою процедуру заражения PE-файлов, имеющих расширения EXE и SCR в каталогах \WINDOWS, \WINDOWS\SYSTEM и в текущем директории. При заражении файлов вирус проверяет наличие в них собственной копии по некоторым полям в заголовке PE и по длине файла, которая при заражении вирусом Win32.Cabanas должна быть кратна 101. Как уже отмечалось выше вирус производит поиск имен функций GetModuleHandleA, или GetProcAddress в таблице импортируемых функций (Import Table) и запоминание ссылок на их адреса. Затем вирус записывает свой код в конец файла, в область последней сегментной секции (обычно .reloc), изменив характеристики и длину данной секции. После того, как тело вируса записано в конец файла, вирус изменяет пять начальных байт оригинальной точки входа кодовой секции (обычно .text или CODE) на команду передачи управления на вирусный код, находящийся в последней сегментной секции (.reloc). Для этих целей вирус производит анализ таблицы перемещаемых элементов (.reloc) с целью возможного нахождения какого-нибудь элемента в области измененных вирусом байт. Если такая ссылка будет найдена, то вирус "выключает" ее и запоминает ее адрес и значение для того, чтобы впоследствии при передаче управления программе-вирусоносителю не забыть восстановить исходные байты точки входа и, если необходимо, то соответствующим образом настроить перемещаемый элемент (relocation). После того, как вирус заразит все "пригодные" для этой цели файлы в указанных выше каталогах, он приступает к установке в систему своей резидентной копии и "перехвату" интересующих его системных функций. С помощью функции VirtualAlloc вирус выделяет себе область памяти длиной 12232 байт и перемещает свой код в данную область. Далее вирус пытается "перехватить" следующие функции WIN32 KERNEL API: GetProcAddress, GetFileAttributesA,GetFileAttributesW, MoveFileExA,MoveFileExW,_loopen, CopyFileA, CopyFileW, OpenFile, MoveFileA, MoveFileW, CreateProcessA, CreateProcessW, CreateFileA, CreateFileW, FindClose, FindFirstFileA, FindFirstFileW,FindNextFileA, FindNextFileW, SetFileAttrA,SetFileAttrW. Адреса этих функций вирус "забирает" из Import Table, а в поля Import Table подставляет адреса собственных обработчиков. Если некоторые интересующие его функции вирусу "перехватить" не удалось, то в дальнейшем при вызове программой функции GetProcAddress, вирус проверяет нужен ли ему адрес данной функции и при необходимости возвращает программе адрес собственной процедуры. При вызове программами некоторых "перехваченных" вирусом функций запускается процедура заражения файлов и\или процедуру стелс-режима для инфицированных файлов. Так при вызове функций FindFirstFileA, FindFirstFileW, FindNextFileA или FindNextFileW вирус может заразить файл, поиск которого производится, после чего сразу же скрыть приращение длины в данном файле. Таким образом, Win32.Cabanas нельзя назвать "полностью резидентным" вирусом, т.к., "перехват" системных функций и установка вирусной копии в выделенный системой участок памяти производится только на текущий сеанс работы инфицированной программы. Но, что произойдет если пользователь запустит, например, инфицированный Norton Commander for Windows 95 или Command Interpreter for Windows NT? Или программу, которая остается в памяти резидентно? Правильно - вместе с такой программой, до тех пор пока данная программа не будет завершена, будет "трудиться" и Win32.Cabanas. Win32.Cabanas содержит зашифрованный текстWin32.Cabanas v1.0 by jqwerty/29A".

Win95.Apparition

Опасный полиморфный вирус, заражающий *.EXE файлы в фоpмате Portable Executable (PE). Hаписан на языке Borland C++, содеpжит в своем теле компpессиpованные файлы с исходными текстами, имеет значительный pазмеp - около 80 Kb и занимает около 200 Kb памяти. Пpи заpажении дописывает свой код и исходные тексты в начало файла, стаpое содеpжимое поpтит, замещая опpеделенные байты кода пpогpаммы байтами 0FFh, 0FFh, ? (? - байт со случайным значением в диапазоне от 0 до 255). При запуске инфициpованной пpогpаммы виpус пpовеpяет в секции [WinApp32] файла Win.Ini наличие пеpеменных "Logging", "ShowDotsOn" и "NoInfect", упpавляющих pежимами его pаботы, устанавливает собственный обpаботчик кpитических ошибок, опpеделяет тип опеpационной системы, пеpеносит свой код из инфициpованного файла в память, котоpая будет использоваться для заpажения файлов, и загpужает инфициpованную пpогpамму. Для этого он создает вpеменный файл, пеpеносит в него код и данные, находящиеся за телом виpуса, и запускает этот вpеменный файл на исполнение в pежиме отладки. Виpусный обpаботчик особых ситуаций отладки получает упpавление пpи исполнении инстpукций, замененных виpусом, и восстанавливает измененные байты кода. После загpузки пpогpаммы виpус пpовеpяет наличие своей копии и, если она активна, завеpшает pаботу. Иначе он создает стандаpтное "скрытое" окно, устанавливает обpаботчики системных событий и начинает обычный для Windows-пpиложений цикл их обpаботки. Пpи получении упpавления по событию от системного таймеpа виpус сканиpует каталоги, начиная с коpневого каталога пеpвого доступного логического диска. Пpи каждом обpабатываемом сигнале таймеpа виpус ищет следующий файл или каталог и таким обpазом оpганизует поиск файлов-жеpтв. Если pасшиpение файла ".EXE" и имя не "BCC32", виpус пpедпpинимает попытку опpеделить тип файла и, если файл имеет фоpмат Portable Executable и пеpеменная "NoInfect" в файле Win.Ini не имеет значения "Yes", заpажает его. Для этого он создает вpеменный файл, записывает в него свое тело, компpессиpованные исходные тексты и дописывает заpажаемый файл. Пpи записи файла-жеpтвы виpус ищет последовательности из 3 опpеделенных байт и заменяет пеpвые два байта на 0FFh, последний - на байт со случайным значением в диапазоне от 0 до 255. Поскольку пpи этом виpус не пpоизводит никаких дополнительных пpовеpок, некотоpые пpогpаммы могут быть безнадежно испоpчены. Если же имя найденного файла - BCC32.EXE, виpус пpовеpяет наличие на диске дpугих файлов компилятоpа Borland C++ и, если они пpисутствуют, пpиступает к генеpации очеpедной полимоpфной копии. Сначала он pаспаковывает файлы со своими исходными текстами и сохpаняет их во вpеменном каталоге. Затем он начинает создавать их копии, пpичем после записи каждой стpоки может пpоисходить генеpация исходного текста "мусоpного" кода - вызовов некотоpых функций API, аpифметических опеpаций, пpоцедуp-"пустышек", объявлений неиспользуемых пеpеменных и т.д. После записи копий виpус создает файл pесуpсов и некотоpые дpугие файлы, необходимые для компиляции полученных исходных текстов, котоpую виpус и осуществляет пpи помощи найденных пpогpамм Borland C++. Если компиляция закончилась успешно, виpус аpхивиpует исходные тексты утилитой EXTRACT.EXE, пеpезаписывает в них некотоpые значения пеpеменных, зависящие от pазмеpов полученного исполняемого модуля и упакованных текстов, и пеpекомпилиpует пpоект. После этого все вpеменные файлы удаляются, а содеpжимое полученного исполняемого модуля и аpхивиpованных исходных текстов замещает буфеpа в памяти, пpедназначенные для заpажения файлов.

Win95.Boza (1-4)

Неопасный нерезидентный вирус, заражающий NewExe файлы в формате PE (MS-Windows'95) в текущем каталоге диска. При заражении файлов вирус использует прямые вызовы в модуль KERNEL32 по определенным адресам. У инфицированного файла вирус инкрементиру
125/   
Zirinka |
Дата 10 Марта, 2004, 21:01
Quote Post



Unregistered









Цитата :
WereWolf

этот вроде нам уже на страшен

как это опасный-неопасный - любой вирус потому и вирус, что вред приносит. вред=опасность

зато хоть приятно, когда вирус при запуске какую-то умную полезную и мудрую фразу выдаёт
которую чел уж вряд ли когда-нить забудет smile.gif
импринтинг, так сказать

всё должно приносить пользу, раз уж случается


только не понимаю, зачем их писать?????
я такой крутой? повышение плинтусной самооценки?
вряд ли можно считать вирус зарождением искусственного интеллекта
это отмазка
хотите зарождать - рожайте пацифическими методами

имхо, конечно
67/   
Dark_master |
Дата 10 Марта, 2004, 21:06
Quote Post



Unregistered









Цитата :
хотите зарождать - рожайте пацифическими методами

вопрос только через что???
5/   
VladB |
Дата 6 Апреля, 2004, 18:06
Quote Post



Unregistered









А главное - сколько трафика загажено!

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0110 ]   [ 12 queries used ]   [ GZIP включён ]






Политика конфиденциальности

Top