Новые "троянцы" Trojan.Canasson13 и Trojan Subseven1.9

Новые "троянцы" Trojan.Canasson13 и Trojan Subseven1.9

На этой неделе внимание специалистов привлекли две троянских программы: Trojan.Canasson13 и Trojan.Subseven1.9.

Trojan.Canasson13 по-видимому родом из Франции. Во время загрузки он копирует себя в файл C:\MSIE5.EXE, а также записывает несколько "обидных" высказываний в C:\00.TXT (например, "You silly new" или "You've been hacked"). Также Canasson13 прописывает две строчки в registry: "HKEY_LOCAL_MACHINE\Security\Beef13\canasson13" и "HKEY_ LOCAL_MACHINE\Config\Last\00".

Для реализации своего автоматического запуска при загрузке Windows, Canasson13 модифицирует файл WIN.INI, добавляя туда строчку: "Run = Msie5.exe". Этот текст не так-то легко заметить, если открывать WIN.INI с помощью Notepad, так как он сильно табулирован.

После всех вышеперечисленных "инсталляционных" процессов начинают действовать "вредные" функции, включенные в Canasson13. В основном эти функции направлены на замедление работы компьютера.

Так, через семь минут после запуска Canasson13 (читай - после перезагрузки Windows) курсор мыши начинает двигаться медленнее и рывками. После одиннадцати минут вся система Windows начинает сильно "тормозить" (вирус выделяет под себя очень большое количество оперативной памяти), а по истечении тринадцати минут начинает пищать встроенный динамик компьютера. На четырнадцатой минуте программно отключается клавиша "NumLock" и выводится следующее сообщение:

"Norton Canasson 13

---------------

No, don't use numlocks! Numbers hurt me.

OK"

По истечении 15 минут Trojan.Canasson13 открывает NotePad, редактирует файл 00.TXT, и, наконец, после получаса работы на экран выводится сообщение об ошибке и система перезапускается, для того чтобы все напасти начались с начала.

Что касается Trojan.SubSeven 1.9, то он может быть потенциально весьма опасен. В отличие от предыдущего "троянца", который просто мешает пользователю работать, SubSeven инсталлирует и активирует в зараженной системе специальный сервер, с помощью которого он может скрытно передавать секретные данные в Internet.

По своей сути SubSeven 1.9 - это обновленная версия SubSeven 1.8. Обнаружение новой версии весьма затруднено тем, что в SubSeven 1.9 встроена специальная конфигурационная программа, которая позволяет изменять имена активных резидентных файлов, а также менять порт, через который в Internet передаются данные.

После активации сервера SubSeven он передает через выбранный порт подтверждение на E-mail автора вируса или его ICQ. В подтверждении содержатся данные об IP зараженного компьютера и номере порта, который задействован сервером.

Хочется отметить, что опасность в данном случае в основном грозит лишь тем пользователям, которые подключены к Internet.

W97M.Reizfaktor

W97M.Reizfaktor - это троянская программа, состоящая из трех частей: макроса Word97, автозапускаемого файла Windows и пакетного BAT-файла.

Макрос Reizfaktor с помощью функции Document_Open инсталлирует файлы AUTORUN.INF и AUTOEXEC.BAT в корневую директорию диска C:. После инсталляции, макрос удаляет свой оригинальный код и заменяет его макросом с функцией AutoOpen и комментариями.

Установленный автозапускаемый файл AUTORUN.INF содержит всего одну строчку, которая является инструкцией для запуска AUTOEXEC.BAT. После очередной перезагрузки Windows, AUTORUN.INF становится доступным системе и будет автоматически запускаться при каждом новом обращении к диску C:.

Измененный AUTOEXEC.BAT, установленный Reizfaktor, с помощью команды DELTREE удаляет содержимое корневой директории и выводит следующее сообщение:

"Updating! This May Take A While...

Please Wait..."

Результат выполнения команды сохраняется в файле REIZFAKTOR.TXT.

W97M/Heathen

W97M/Heathen - первый макро-вирус, способный заражать документы Word без обязательной необходимости их загрузки пользователем. Для этого вирус использует новые техники, неизвестные до сих пор специалистам-вирусологам. Своих целей вирус достигает с помощью создания своей запускаемой копии в памяти компьютера, а затем копирования ее на жесткий диск. Затем осуществляется поиск и заражение документов Word, размещенных на винчестере данного компьютера.

С технической точки зрения, новинкой данного вируса является то, что в теле зараженных файлов находится лишь один автоматический макрос, использующий функцию AutoOpen. Этот макрос проверяет, работает ли пользователь с Word под Windows 95/98 и существует ли еще одна активная копия вируса в памяти, что определяется с помощью проверки устанавливаемого флага, названного "Heathen is here" функцией CreateMutexA.

Если активной копии вируса в памяти не обнаружено, вирус выделяет память под переменную срочного типа ("a") и под массив таких переменных ("s"). Выделение памяти производится с помощью функции GlobalAlloc и двух недокументированных функций KERNEL32 (Callback12 и Callback24). С помощью первой вирус устанавливает контроль над кодом строчной переменной "a". Эта функция является стандартной uudecode-функцией, которая использует строки массива "s" и конвертирует их в стандартный бинарный код с помощью места в памяти, выделенного под вышеназванные переменные.

Далее Heathen перехватывает адреса в памяти модулей KERNEL32 и OLE32.DLL, а также имя текущего открытого документа Word. Затем с помощью функции Callback24 вирус устанавливает контроль над бинарным кодом, созданным ранее, после чего копирует его на жесткий диск в корневой каталог Windows в файл HEATHEN.VDL. Двоичное отображение активного документа Word также сохраняется на жесткий диск в файл HEATHEN.VDO.

После того как вирус сделал это, он копирует EXPLORER.EXE в файл HEATHEN.VEX и модифицирует WININIT.INI так, что после очередной перезагрузки Windows он будет переименован в EXE. Далее заражается HEATHEN.VEX. В него дописывается маленькая 32-байтная функция, которая запускает HEATHEN.VDL, после работы которого управление возвращается обратно к EXPLORER. Это позволяет вирусу осуществлять поиск документов Word на жестком диске и заражать их, используя макрос, сохраненный в HEATHEN.VDO.

В заключение хотелось бы напомнить, что все вышеназванные вирусы легко удаляются с помощью последних версий антивирусного программного обеспечение. Не забывайте и не ленитесь пользоваться ими.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 26 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета