В данной части бюллетеня использована информация Лаборатории Касперского (http://www.avp.ru) - самой известной и популярной российской компании, выпускающей антивирусное программно

В данной части бюллетеня использована информация Лаборатории Касперского (http://www.avp.ru) - самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение.

(c) Компьютерная газета


Win32.CTX

Win32.CTX - нерезидентный полиморфный (зашифрованный) Win32-вирус. При каждом запуске зараженного файла вирус ищет PE EXE-файлы (выполняемые файлы Windows) в текущем каталоге (кроме корневого каталога), в каталоге Windows, в системном каталоге Windows и заражает до пяти файлов в каждом из каталогов.

При запуске зараженного файла через полгода после его заражения и точно в час заражения вирус вызывает видео-эффект: инвертирует на экране все цвета и затем завешивает приложение, вызывая бесконечный цикл. Данная процедура срабатывает только при достаточном разрешении видео-монитора. Вирус содержит текст-"копирайт":

"[ CTX Phage Virus BioCoded by GriYo / 29A Disclaimer: This software has been designed for research purposes only. The author is not responsible for any problems caused due to improper or illegal usage of it ]">

Заражение EXE-файлов

При заражении файлов вирус увеличивает размер последней секции файла, шифрует и записывает туда свой код. Вирус не меняет стартовый адрес заражаемой программы и для того, чтобы получить управление при ее старте, использует технологию "Entry Point Obscuring" (EPO). Вирус сканирует кодовую секцию файла, ищет в ней команды CALL/JMP, которые вызывают импортируемые программой функции, случайным образом выбирает одну из них и записывает вместо нее команду передачи управления на свой код. Если команд вызова импортируемых функций не обнаружено, вирус не заражает этот файл. Процедура заражения содержит незначительные ошибки, по причине которых некоторые заражаемые файлы оказываются испорченными. В случае Windows NT это может остановить загрузку системы.

"Совместимость" с Win2000

Вирус обходит встроенную в Win2000 защиту от вирусов и проверку на целостность системы (SFC - System File Check). Для этого вирус получает доступ к функциям SFC.DLL и проверяет каждый заражаемый файл. Если файл контролируется системой, вирус не заражает его.

Полиморфик-генератор

Полиморфик-генератор вируса очень похож на аналогичные, используемые в вирусах Win95.HPS и Win95.Marburg, однако в данном вирусе он несколько усилен. Помимо этого код вируса шифруется от 4 до 7 раз в зависимости от случайного счетчика. В результате код вируса "закрыт" несколькими полиморфик-циклами (от 4 до 7 циклов), что в сочетании с EPO-приемом скрытия кода вируса делает его достаточно сложным для обнаружения и лечения.

Win95.CIH-Killer

Неопасный резидентный Win95-вирус. Заражает выполняемые файлы Windows (PE EXE - Portable Executable). При заражении записывается в конец файла: увеличивает размер последней секции файла, записывает туда свой код и модифицирует необходимые поля PE-заголовка. При инсталляции в память использует приемы вируса Win95.CIH ("Чернобыль"): переключается в режим системного драйвера, выделяет блок системной памяти, копирует в нее свой код, перехватывает IFS API (файловые операции) и остается в памяти Windows как VxD-драйвер. Затем вирус заражает PE EXE-файлы при их открытии. Если PE EXE-файл оказывается уже зараженным вирусом "Win95.CIH", то он лечится и затем заражается копией "Win95.CIH-Killer".

При запуске зараженных файлов с 0:00 до 0:59 в зависимости от значения минут и секунд вирус выводит сообщение:

"CIH Killer1.1 I'll kill CIH,but I'll live here,too! Produce By SSJ. CCU. Taiwan 1999."


Компьютерная газета. Статья была опубликована в номере 37 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета