I-Worm.BadAss

I-Worm.BadAss

Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты. Является 25-килобайтным EXE-файлом Windows, скомпилированным при помощи компилятора VisualBasic. Червь во многом напоминает вирус-червь "Melissa" - вызов функций и последовательность инструкций практически полностью совпадают с вирусом "Melissa". Передается по электронной почте в виде присоединенного к письмам EXE-файла. В оригинале имя файла BADASS.EXE, однако он может быть переименован, и будет рассылаться с новым именем.

При запуске этого файла червь получает управление и активизирует свою процедуру дальнейшего распространения. Для распространения своих копий червь открывает базу данных Outlook, считывает из ее адресной книги адреса электронной почты и рассылает по ним электронные сообщения со своей присоединенной копией. Заголовок таких сообщений содержит текст "Moguh..", а текст самого сообщения содержит лишь одну строку на голландском языке: "Dit is wel grappig!:-)" ("Это смешно!").

Червь не рассылает свои копии с одного компьютера дважды. Для этого он создает новый ключ в системном реестре и каждый раз при запуске проверяет его: HKCU\SoftWare\VB and VBA Program Seettings\Windows\CurrentVersion "CMCTL32"="00 00 00 01"

Червь также выводит ряд сообщений нецензурного содержания.

Win95.SK

Резидентный Windows-вирус. Размножается под Windows95/98: инсталлирует себя в системную память, перехватывает файловые функции Windows и заражает выполняемые файлы Windows (PE-файлы - Portable Executable). Помимо PE-файлов вирус также заражает HLP-файлы Windows - вирус записывает в них скрипт-программу, которая при активизации HLP-файла (т.е. при вызове подсказки Windows) записывает "дроппер" вируса на диск и запускает его на выполнение. Вирус также записывает свои файлы-дропперы в архивы четырех типов: RAR, ZIP, ARJ и HA.

Вирусные дропперы в архивах и HLP-файлах имеют формат выполняемых COM-файлов DOS и запускаются на выполнение в DOS-окне, однако они так же, как и PE EXE-файлы, в состоянии инсталлировать копию вируса в системную память Windows.

Код вируса в PE-файлах и DOS-дропперах зашифрован полиморфик-кодом. В случае PE-файлов вирус использует технологию "без точки входа" (EPO - Entry Point Obscuring): вирус не модифицирует стартовый адрес программы и не записывает процедуру JMP_Virus перехода на свой код по стартовому адресу, но помещает ее по случайно выбранному адресу в теле заражаемой программы. В результате основная процедура вируса получает управление не в момент запуска зараженной программы, а только в том случае, если управление получает соответствующая подпрограмма файла-носителя, которая содержит в своем теле процедуру JMP_Virus. Вирус является "медленным": при заражении файлов он проверяет различные условия и в результате заражает лишь очень незначительное количество файлов. В стандартной поставке Windows95/98 зараженными могут оказаться всего около 10 EXE-файлов, да и то только в том случае, если совпадут прочие условия, проверяемые вирусом при заражении. То же относится и к архивам и HLP-файлам: вирус заражает далеко не все из них и делает это крайне редко - только если за предыдущие две минуты не было ни одного обращения ни к EXE-файлам, ни к архивам, ни к HLP-файлам.

Вирус крайне опасен: при запуске или открытии антивирусов ADINF, AVPI, AVP, VBA или DRWEB вирус уничтожает все файлы на всех доступных дисках с C: до Z: включительно и затем завешивает компьютер. Вирус также в любом случае удаляет файл COMMAND.PIF.

Вирус содержит ошибки, которые под некоторыми конфигурациями Windows являются летальными: Windows выдает стандартное сообщение об ошибке и дальнейшая работа Windows становится нестабильной.

При заражении системной памяти вирус в зависимости от своего случайного счетчика выводит текст:

<C> 1997 VBA Ltd. E-mail:support@vba.minsk.by

Win95.SK.8699

"Доработанная" версия вируса. Усилены процедуры шифрования и полиморфик-генератор. Исправлена ошибка заражения HLP-файлов Windows - эта версия вируса в состоянии размножаться из HLP-файлов под любой национальной кодировкой (не только под русской). Отключает резидентную компоненту (монитор) антивирусов AVP и F-SECURE - ищет и правит код антивирусного драйвера GK95.VXD.

По информации вестника "Касперский сообщает..."


Компьютерная газета. Статья была опубликована в номере 43 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета