Gimon.2256

Gimon.2256

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-, EXE- и SYS-файлов при их запуске или поиске. Также пытается заражать OBJ-файлы, но по причине ошибок не в состоянии записать в них свой код, или портит их содержимое.

При первом запуске зараженного файла вирус также создает свои дополнительные копии: записывает свой "чистый код" в файл со случайным именем на диске C:\ и "регистрирует" его в файле C:\CONFIG.SYS командой "install=". Таким образом копия вируса запускается на выполнение при каждой последующей перезагрузке DOS. Эта копия не инсталлирует вирус в систему, но создает еще одну копию вируса с именем C:\GBMONKEY.COM и записывает команду ее запуска в файл C:\WINSTART.BAT.

Зараженные SYS-файлы 10 октября выводят сообщение и завешивают компьютер:

"Gibraltar Monkey!

(A)bort, (R)etry, (I)gnore?"

8 марта вирус записывает во все обнаруженные GIF-файлы изображение флага Гибралтара. Вирус также содержит строки:

"[Gibraltar Monkey, by Mister Sandman]"

Win.Pin

Очень опасный резидентный Win16-вирус. Заражает Win16 NE (New Executable) EXE-файлы и DOS EXE-файлы, при этом в обоих случаях шифрует свой код полиморфным кодом. При заражении файлов вирус записывается в их конец и изменяет необходимые поля в заголовках файлов, при этом в Win16 NE EXE-файлах вирус для своего кода создает дополнительную секцию. Процедура заражаения NE-файлов содержит ошибки и вирус в некоторых случаях портит их.

При заражении файлов вирус проверяет системную дату и время и, начиная с 16-го числа ежемесячно, в зависимости от системного счетчика секунд стирает системные данные на флоппи-диске A:

Для того чтобы остаться резидентно в памяти Windows, вирус создает в системном каталоге Windows файл WINP16.386, который является VxD-драйвером и содержит основные процедуры заражения. Вирус затем регистрирует этот драйвер в файле SYSTEM.INI в разделе [386Enh] командой "device=", в результате чего при каждом запуске Windows загружает вирусный драйвер. Запись в файле SYSTEM.INI выглядит следующим образом:

[386Enh]

device=winp16.386

При загрузке драйвер перехватывает DOS INT 21h (DOS-функции) и при запуске каждого файла ищет и заражает DOS EXE-файлы и Win16 NE EXE-файлы в текущем каталоге. Вирус проверяет имена файлов и не заражает: APV.EXE, SCAN*.EXE, TBAV*.EXE, DRWE*.EXE, AIDS*.EXE, KRNL*.EXE, WIN3*.EXE, VICT*.EXE. VxD-драйвер вируса работоспособен не только под Win16, но и под Win9x, что позволяет вирусу существовать в 32-битных версиях Windows и заражать NE-файлы, которые присутствуют в каталогах Win9x.

Win32.HLLP.BadBy

Очень опасный резидентный Win32-вирус. Является приложением Win32 и написан на языке Delphi, размер вируса - около 300 Kб. Вирус заражает.EXE-файлы, при этом определяет их по имени, а не по внутреннему формату, в результате чего заражает не только EXE-файлы Win32, но также и файлы DOS и Win16.

При старте зараженного файла вирус заражает файл NOTEPAD.EXE в каталоге Windows, затем остается в памяти Windows как скрытое приложение, периодически ищет EXE-файлы на дисках системы и заражает их.

При заражении файлов вирус сдвигает их содержимое вниз и записывается в начало файлов. Для того чтобы отдать управление программе-носителю, вирус создает временный EXE-файл, "лечит" в него файл-носитель, запускает на выполнение и затем удаляет с диска.

9 сентября и 28 октября вирус уничтожает файлы на дисках. Побочным проявлением вируса является также сильное замедление "слабых" компьютеров: для своих данных вирус резервирует 20 мегабайт оперативной памяти компьютера, что приводит к большим объемам перекачиваемых своп-данных.

Win95.Luna

Опасный резидентный зашифрованный (полиморфный) Windows-вирус. Работоспособен только под Win95/98. Заражает выполняемые файлы Windows (PE EXE-файлы) при их открытии или запуске. При заражении увеличивает размер последней секции файла и записывает в нее свой код. Содержит ошибки, по причине которых часто портит заражаемые файлы. Не заражает файлы-антивирусы: AV*.*, DR*.*, F-*.*, AN*.*, CE*.*, PI*.*, TB*.*.

Содержит строку текста:

"Win9x.Luna Coded by Bumblebee".

В памяти Windows остается как часть ядра Windows: выделяет блок памяти Windows, копирует туда свой код и встраивает в обработчик функции CreateFileA библиотеки KERNEL32.DLL код вызова своей резидентной части. В результате резидентный код вируса получает управление при открытии и запуске файлов.

По 15 числам по нечетным месяцам (январь, март, май... ноябрь) во всех открываемых.TXT-файлах меняет регистр латинских букв (A-Z <-> a-z). При следующем открытии вирус опять меняет регистр символов и т.д.

I-Worm.Suppl

Вирус-червь, распространяющий свои копии через Интернет в виде прикрепленного к письму документа MS Word97, имя документа - SUPPL.DOC.

Червь был разослан в несколько Интернет-конференций в сентябре 1999. Документ создан русской версией MS Word, что указывает на его происхождение.

При инсталляции своей копии в систему червь использует метод, не работающий под WinNT. В результате зараженными могут оказаться только системы под управлением Win9x.

Через неделю после заражения компьютера червь уничтожает на локальных и сетевых дисках файлы с расширениями: DOC XLS TXT RTF DBF ZIP ARJ RAR.

Способ уничтожения файлов аналогичен червю "ZippedFiles" (I-Worm_ZippedFiles). Как результат, испорченные файлы восстановлению не подлежат.

Инсталляция

Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open, который автоматически исполняется MS Word при открытии документа. Этот макрос копирует свой документ в системный каталог Windows с именем ANTHRAX.INI (этот файл затем используется как оригинал при рассылке зараженных сообщений), затем червь создает на диске свою DLL-компоненту с именем DLL.TMP. Код этой компоненты хранится в зараженном документе в упакованном виде и распаковывается через временный файл DLL.LZH. Затем червь записывает команды переименования в файл WININIT.INI (эти команды обрабатываются Windows при очередной перезагрузке). Данные команды переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя WSOCK33. DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP. В результате этого при последующей загрузке Windows активизирует и использует код червя вместо "настоящей" библиотеки.

Размножение

При инициализации DLL-файла червя происходит перехват всех функций сетевой библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32 передает управление на "настоящую" библиотеку (которая грузится из файла WSOCK33.DLL), а для функций "send" и "connect" вызывает дополнительно свои обработчики. Эти обработчики перехватывают сообщения, отправляемые с компьютера, и добавляют к ним Word-компоненту червя с именем SUPPL.DOC.

По информации вестника "Касперский сообщает..."


Компьютерная газета. Статья была опубликована в номере 40 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE