Win32.Aldebaran

Win32.Aldebaran

Резидентный полиморфный Win32-вирус. Достаточно сложен: использует нестандартные методы заражения файлов, инсталляции в память Windows, мощный полиморфик-генератор и т.д.

Заражает только PE EXE-файлы Windows. Заражение происходит в середину файла в его кодовую секцию: вирус считывает часть кода заражаемого файла, дописывает свой код (в зашифрованном виде), компрессирует и записывает обратно в середину файла. В результате размеры файлов при заражении не увеличиваются. Для компрессии используется метод Хаффмана.

Для того чтобы восстановить свой код и тело зараженного файла, вирус записывает в файл также и сравнительно небольшую стартовую процедуру (зашифрованную полиморфик-кодом). Эта процедура при старте файла сканирует ядро Windows, определяет необходимые для ее работы адреса функций Windows (выделение памяти, работа с процессами и т.п.), затем выделяет блок памяти Windows, распаковывает в него основной код вируса и передает на него управление. Основной код вируса затем сканирует текущий каталог и каталог Windows (вместе с подкаталогами), ищет EXE-файлы и заражает их.

Под Win9x при некоторых специфичных условиях вирус также способен оставить в памяти Windows свою активную копию. Для этого вирус получает доступ к процессу Explorer (в памяти Windows) и записывает в память этого процесса свою копию. Затем вирус сканирует таблицу импортов Explorer, правит ее и перехватывает события, возникающие при запуске программ. Вирусный перехватчик затем при активизации сканирует подкаталоги всех дисков от C: до G: и заражает обнаруженные в них PE EXE-файлы.

5 августа вирус создает в системном каталоге Windows новый файл-икону IKX00.ICO и регистрирует ее в системном реестре как стандартную икону Explorer'а.

Вирус содержит строки:

"Remember VX meeting times...

B0/S0 - [iKx] (c) 1999 all right reserved - present AldeBaran"

Чтобы заразиться вирусом BubbleBoy, достаточно просто открыть электронное письмо

Все Internet-пользователи давно знают (но не всегда выполняют), что в полученном письме от неизвестного отправителя открывать присоединенный файл опасно, это может активизировать присланный в нем вирус. Как оказывается, теперь выполнение этой заповеди не гарантирует от инфекции.

Появился вирус-червь нового типа. Он называется BubbleBoy. Чтобы он начал свою вредоносную деятельность, достаточно просто открыть письмо электронной почты, в котором его прислали. Активизировавшись, вирус BubbleBoy рассылает сам себя по всем адресам, содержащимся в адресной книге почтовой программы Outlook или Outlook Express. То есть он ведет себя как известный вирус Melissa. Пользователь сразу может не понять, что его машина заражена вирусом. Он проявляет себя только тем, что в регистрационных данных изменяется имя пользователя компьютера и название его организации, соответственно, на BubbleBoy и Vandelay Industries.

Определить, что к вам пришло зараженное письмо, очень просто. В заголовке письма в строке "Тема" (Subject) стоит фраза "BubbleBoy is back!". Тело письма начинается с фразы "The BubbleBoy incident, pictures and sounds", кроме того, в письме приведен URL-адрес, оканчивающийся на "bblboy.htm".

Вирус заражает только машины, на которых установлен браузер Internet Explorer 5 и Windows Scripting Host (WSH) - все это входит в стардартный комплект поставки Windows 98 и Windows 2000. Вирус не действует на компьютеры с Windows NT. Для работы вируса также необходимо наличие почтовой программы Microsoft Outlook или Outlook Express. В Outlook для активизации вируса требуется открыть письмо, вирус не опасен, если письмо не открывается, а просматривается при включенной опции автопросмотра (видно только начало письма). В Outlook Express вирус активизируется и при автопросмотре. В любом случае вирус не опасен, если в Internet Zone в браузере Internet Explorer 5 установлен высокий уровень защиты. После заражения ключ Registry принимает такое значение, которое говорит о том, что почтовая рассылка вируса произведена, поэтому повторное заражение вирусом с одного компьютера не производится.

На первый взгляд вирус BubbleBoy не опасен, он не производит каких-то катастрофических действий на компьютере пользователя. Опасность состоит только в возможной перегрузке почтовых систем при одновременной отправке множества зараженных писем.

Специалисты по антивирусной защите назвали вирус BubbleBoy концептуальным. Пока он не несет разрушений, но на его основе могут быть созданы более опасные вирусы. Вирус был разослан анонимным отправителем (возможно, его автором) по нескольким фирмам и организациям, занимающимся разработкой средств антивирусной защиты. Если вирус разослал его автор, то он, по-видимому, хотел узнать мнение специалистов о своем творении. BubbleBoy написан на языке VB Script и использует для заражения системы управляющие элементы Active X. Специалисты уже занялись разработкой противоядия.

Теперь пользователи при работе с электронной почтой должны следовать новой заповеди - не открывать письмо с темой "BubbleBoy is back", а лучше настроить системы фильтрования и сканирования почты на удаление сообщений с такой темой.

Ну и не надо забывать про старое правило - никогда не открывайте файлов, присланных неизвестным отправителем.

Gumbs.3584

Общие характеристики. Неопасный резидентный файлово-загрузочный вирус. Заражает загрузочный сектор диска C: и записывается в конец EXE-файлов на флоппи-дисках при обращениях к ним. Зашифрован как в файлах, так и в загрузочных секторах. Использует Stealth-приемы. Перехватывает INT 13h, 1Ch, 21h.

Инсталляция в память. После старта из инфицированного файла вирус записывается в boot-сектор первого жесткого диска (диск C:) и возвращает управление файлу-носителю. При загрузке операционной системы вирус загружается из boot-сектора диска C:, уменьшает облать памяти BIOS и копирует туда свое основное тело. Затем, после загрузки DOS, вирус перемещает свое тело из верхних адресов памяти в середину. Вирус устанавливает новый обработчик INT 13h, который скрывает присутствие вируса в загрузочном секторе жесткого диска.

Заражение файлов. При обращениях к файлам функциями INT 21h вирус проверяет местоположение файлов. Если файлы находятся или создаются на дискете (A:, B:), то вирус поражает их. Не заражаются файлы AIDS*.EXE и DRWE*.EXE. Вирус скрывает изменение размера для инфицированных файлов как на дискетах, так и на жестком диске, если файлы с дискет переносятся на жесткий диск.

Проявления. 1 апреля с вероятностью 1/8 вирус перехватывает INT 8. Обработчик INT 8 проигрывает мелодию The Beatles "Hey Jude".

Вирус содержит строки текста:

"Этим экземпляpом СамПО мастеp Гамбс пpодолжает свою коллекцию. Disk I/O error."

По информации вестника "Касперский сообщает..."


Компьютерная газета. Статья была опубликована в номере 45 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета