Win32.Thorin

Win32.Thorin

Опасный полиморфный Win32-вирус. Резидентен на время работы зараженной программы. Заражает PE EXE-файлы (программы Win32). Рассылает свои копии по IRC-каналам. Имеет достаточно внушительный размер для программы, написанной на ассемблере - около 12Kb. Это вызвано большим набором разнообразных процедур, присутствующих в коде вируса: процедуры размножения (EXE и IRC), полиморфик-генератор, проявления вируса, антиотладочные приемы и т.д.

При запуске зараженного файла вирус расшифровывает себя двумя циклами расшифровки (первый цикл - полиморфный), затем проверяет целостность своего кода по CRC-сумме, затем определяет адреса необходимых ему функций Windows путем сканирования ядра Windows и передает управление на процедуру заражения.

Процедура заражения файлов сканирует каталог Windows, системный каталог Windows, текущий каталог, ищет.EXE-,.CPL- и.SCR-файлы, которые являются программами Win32 (PE-файлы), и заражает их. При заражении вирус увеличивает размер последней секции файла, шифрует и записывает туда свое тело. Затем вирус модифицирует необходимые поля PE-заголовка, включая стартовый адрес программы. Вирус проверяет имена файлов и не заражает некоторые антивирусы и утилиты: TBAB, F-PROT, NAV, AVP, DRWEB, PAV, DSAV, NOD, WINICE, FORMAT, FDISK, SCANDSKW, DEFRAG.

Заражение клиентов IRC

Вирус пытается распространять свои копии по каналам IRC. Для этого он создает файл-пустышку C:\PR0N.EXE, заражает ее и рассылает в IRC-каналы. Для "автоматизации" рассылки вирус сканирует каталоги диска C: и ищет служебные скрипт-файлы IRC-клиентов mIRC, PIRCH и ViRCH (файлы MIRC.INI, EVENTS.INI и DEFAULT.LIB). Если таковые файлы обнаружены, вирус записывает в них короткие скрипт-программы, которые рассылают файл C:\PR0N.EXE всем пользователям, которые подключаются к зараженным каналам.

Для того чтобы не запускать процедуру поиска и заражения IRC-клиентов при старте каждого зараженного файла, вирус создает в системном реестре ключи-идентификаторы заражения:

HKCU\iKX\Thorin\mIRC32

HKCU\iKX\Thorin\Pirch32

HKCU\iKX\Thorin\ViRC97

Если такие ключи присутствуют в реестре, вирус не выполняет процедуру заражения IRC. Однако в любом случае по 31-м числам вирус уничтожает эти ключи и как результат снова заражает IRC-клиентов, т.е. повторное заражение ("обновление" вируса) происходит примерно раз в два месяца.

Резидентность

Вирус резидентен на время работы зараженных программ. Для этого вирус сканирует таблицу импортируемых программой функций и перехватывает 10 процедур работы с файлами и запуска процессов (MoveFileA, CopyFileA, GetFullPathNameA, DeleteFileA, WinExec, CreateProcessA, CreateFileA, GetFileAttributesA, FindFirstFileA, FindNextFileA). При вызове этих функций вирус определяет имя файла, проверяет и заражает его.

Проявления и прочее

Вирус содержит процедуры противодействия антивирусным программам. Он ищет окна антивирусных мониторов "AVP Monitor" и "Amon Antivirus Monitor" и закрывает их. Во всех каталогах, где происходит поиск файлов для заражения, уничтожает антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.TAV, CHKLIST.MS, CHKLIST.CPS, AVP.CRC, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS.

26 октября вирус случайным образом запускает на выполнение одну из пяти процедур. Первая из них записывает в файл C:\WIN.COM троянскую программу; вторая устанавливает у текущего диска метку "THORIN"; третья меняет местами реакцию на нажатие клавиш мыши; четвертая выводит сообщение:

"Thorin... Thorin... Thorin... Thorin... Thorin...

I am Thorin, son of Thrain, son of Thror

and your computer is mine... mwahahahahaha!

I will give you... the death you deserve!"

Последняя (пятая) процедура активизирует Internet-browser и открывает Web-сайт "http://www. microsoft.com".

Троянская программа, которая записывается вирусом в файл C:\WIN.COM, при старте выводит ряд вопросов, после чего ожидает ввода ответов. В этом случае вирус выходит в DOS, предварительно выдав сообщение:

"You demonstrated, at least, that you have read 'The Hobbit'... And this mades you one of the chosen. Now simply enter windows directory and type 'win'".

В противном случае вирус выводит текст и завешивает компьютер:

"You are a loser..."

Macro.Word97.Multo

Полиморфный макро-вирус. Заражает документы Word97. Также пытается при помощи MS Outlook рассылать свои копии, присоединенные к письмам электронной почты, но по причине ошибки в соответствующей процедуре распространения вируса не происходит.

Вирус содержит один модуль с именем "Multo", который содержит 10 процедур:

Document_Open, AutoClose, AutoExec, FileSave, ToolsMacro, ViewVBCode, ToolsCustomize, FileTemplates, Polymorphic, Payload

Вирус размножается при закрытии документов (макрос AutoClose): при закрытии первого зараженного документа копирует себя в область глобальных макросов (NORMAL.DOT); при закрытии прочих документов также заражает их. Процедура заражения также запускается при сохранении содержимого документов (FileSave) и при старте MS Word (AutoExec).

Процедура рассылки зараженных электронных писем вызыватся при открытии зараженного документа.

Вирус (если не обращать внимания на ошибку в его коде) открывает адресную книгу MS Word, сканирует списки адресов и рассылает копию вируса по первым 60-ти адресам из каждого списка. При этом письмо содержит заголовок и текст:

"Заголовок:

Fwd: VIRUS WARNING!!!

Текст:

Somebody by the nickname of Lucky Warrior is sending out a virus that could harm your computer. DO NOT OPEN ANYTHING FROM HIM. MICROSOFT & AOL has said that this is a very dangerous virus. Attached herewith are the info & instruction on how to remove this virus, just in case you encountered this. Please practice cautionary measures and forward this to all your on-line friends ASAP."

При заражении документов вирус также запускает свою процедуру "Payload", которая заменяет в текущем документе все слова "for" на "Multo" и затем выводит текст:

"Lucky Warrior

Multo by Lucky Warrior"


Компьютерная газета. Статья была опубликована в номере 47 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета