47421 (Компьютерные вирусы. Методы и средства защиты), страница 2

Yankee.2189

Семейство "Yankee". Зашифрован, периодически 'крутит' символы '/', '\', '- ', '|'.

Yankee.Estonia.1716

Семейство "Yankee". Резидентный опасный вирус. По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст: "Independent Estonia presents", затем играет "Собачий вальс" и перезагружает компьютер.

[10] Aids

Резидентный очень опасный вирус. Перехватывает INT 3, 21h и записывается в конец EXE-файлов при их закрытии. В каждый 16-й закрываемый COM-файл записывает часть своего кода (файл не восстанавливается, так как вирус не сохраняет старое содержимое файла). При запуске такого файла не экран крупными буквами выдается слово "AIDS".

[11] Peterburg

Бехобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Никак не проявляется.

[12] Voronezh, семейство

Voronezh.370,600 - резидентные вирусы, безобидны. Часть вируса "Voronezh.600" (50 байт) зашифрована (XOR DDh). Перехватывают INT 21h и записываются в начало .COM- файлов при загрузке их в память для выполнения, "Voronezh.370" не заражает COMMAND.COM. При внедрении в файл переписывают его начало в конец файла, а свою копию помещают на освободившееся место в начале. При этом переписываемая часть файла шифруется (XOR BBh). Никак не проявляются и не имеют деструктивных функций. "Voronezh.600" содержит зашифрованный (XOR 1Ah) текст "Oleynikoz S., 1990". Видимо, проба пера начинающего программиста, так как невооруженным глазом заметно достаточно слабое знание возможностей языка ассемблера.

Voronezh.650

Резидентный неопасный вирус. Перехватывает INT 21h и поражает выполняемые COM-файлы по алгоритму вируса "Voronezh.600". При запуске файлов (приблизительно 1 раз на 60 запусков) сообщает:

Video mode 80x25 not supported

Voronezh.1600

Резидентный опасный вирус. Перехватывает INT 21h и поражает файлы при их выполнении или открытии. COM-файлы заражаются по схеме вируса "Voronezh.600". EXE-файлы инфицируются по сложному алгоритму: у них изменяется пять байт точки входа в программу на код команды CALL FAR Loc_Virus, при этом изменение адреса точки входа в заголовке файла не требуется. Вирус корректирует таблицу настройки адресов (ТНА): добавляет в нее один элемент, соответствующий команде CALL FAR Loc_Virus; необходимым образом изменяет один элемент ТНА, указывающий на измененные 5 байт (если такой элемент существует). Затем вирус дописывает к файлу свою копию.

Вирус содержит ошибки: анализируются не более 640 элементов ТНА; не анализируется случай, когда модифицируемый элемент ТНА указывает на пятый байт от точки входа (т.е. слово, которое настраивается при загрузке файла, лежит на границе изменяемых 5 байт). При запуске такого файла возможно зависание компьютера.

[13] LoveChild, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов.

LoveChild.488

При создании своей резидентной копии копирует себя в таблицу векторов прерываний по адресу 0000:01E0. Затем заражает .COM-файлы при их загрузке в память, при открытии и создании. Изменяет первые 4 байта файла на команду перехода на тело вируса (STI; JMP Loc_Virus).

Имеет деструктивные функции: в зависимости от счетчика времени может уничтожать файлы или создавать вместо файла подкаталог с таким же именем.

Вирус периодически модифицирует EXE-файлы таким образом, что их запуск вызовет стирание секторов винчестера (стирается часть информации, расположенной на секторах, соответствующих 0-3 головкам записи/чтения).

LoveChild.2710

Резидентный очень опасный стелс -вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов. Работает только в DOS 3.30, т.к. делает "врезку" в теле операционной системы. Если на машине стоит другая версия DOS, выводит фразу: «Тебе мама не говорила в детстве, что лучше DOS 3.30 версии нет?» после чего портит MBR. С полуночи до 4 часов утра при запуске зараженных программ распечатывает экран. 22 февраля, 32 апреля (?!), 23 июня, 24 августа, 6 октября и 5 ноября занимается гнусностью: пишет "Привет от ГКЧП", затем очищает экран и выводит длинное послание, после чего стирает информацию на винчестере. Вот часть этого сообщения: «Вирусисты всех стран, соединяйтесь. Объединение MMM предлагает за рубли, по ценам ниже рыночных отечественные вирусы, совместимые с IBM PC/AT PC/XT с любой периферией. Поставка со склада в Москве. Гарантийное и послегарантийное обслуживание. У МММ не было проблем. LoveChild v4 in reward for software stealing. LoveChild virus family. (c) Flu Systems intnl. Россия-Украина. Вирусы LoveChild будут появляться до тех пор, пока в СССР (или как его там) не будет принят закон об авторских правах. А пока - червонец в зубы и к Лозинскому».

[14] Win95.HPS, aka Hanta

Заражает PE-файлы (Portable Executable). При запуске инсталлирует себя в ядро Windows95/98, перехватывает системные события и записывается в конец PE EXE-файлов, к которым идет обращение. Длина вируса - 5124 байт. При заражении файлов шифрует себя полиморфик-кодом и записывает результат в последнюю секцию файла, предварительно увеличив ее размер, и затем меняет адрес точки входа в заголовке файла. Размер полиморфик-цикла варьируется от заражения к заражению, поэтому длина файлов может быть увеличена на различные значения.

Вирус проявляется видео-эффектом: если инсталляция вируса в память Windows произошла в субботу, то вирус затем переворачивает справа-налево изображения в неупакованных BMP-файлах. Повторного переворачивания не происходит - вирус помечает такие BMP-файлы записав в них метку DEADBABEh.

[15] Win95.CIH

Резидентный вирус, работает только под Windows95 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Обнаружен "в живом виде" в Тайване в июне 1998 - был разослан автором вируса в местные Интернет-конференции. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобретании, затем вирус был обнаружен и в нескольких других странах, включая Россию.

При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

При тестировании вируса в лаборатории память Flash BIOS осталась неповрежденной - по непонятным причинам вирус завесил систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом виде"

1003 CCIH 1.2 TTIT 26 апреля

Да

1010 CCIH 1.3 TTIT 26 апреля

Нет

1019 CCIH 1.4 TATUNG 26 каждого месяца Да - во многих странах[1]

[16] Macro.Word97.Melissa

Заражает файлы документов и шаблонов MS Word и рассылает свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространяется чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое количество вирусных копий по адресам из всех списков адресной книги MS Outlook. Вирус также изменяет системный реестр, выключает антивирусную защиту MS Word.

Для рассылки своих копий через электронную почту вирус использует возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:

Тема: "Important Message From [UserName]" (UserName берется из базы адресов).

В письме написано: "Here is that document you asked for ... don't show anyone else ;-)". К сообщению также присоединен документ (естественно зараженный), причем вирус присоединяет тот документ, который в данный момент редактируется (активный документ). Как побочный эффект подобного распространения передаются файлы пользователя, которые могут содержать конфиденциальные данные.

Количество рассылаемых писем зависит от конфигурации адресной книги Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отсылает зараженное сообщение по 50 первым адресам из каждого списка. Если в списке меньше 50 адресов, вирус отсылает сообщение на все из них. Для каждого списка создается одно зараженное письмо, поле адресата которого содержит первые 50 адресов из списка.

Вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:

HKEY_CURRENT_USER\Software\Microsoft\Office\ "Melissa?" = "... by Kwyjibo"

Если этот ключ не найден, то вирус посылает сообщения электронной почты с приложенными зараженными документами и создает этот ключ в реестре. Вирус способен распространяться не только в версии Word97, но и в Word2000. Эта особенность вируса связана с возможностью Word2000 преобразовывать файлы старого формата в новый при их открытии. При этом в новый формат конвертируются все необходимые секции файла, включая макро-программы (включая код вируса). Как результат, вирус получает возможность распространяться в среде Word 2000.

При запуске вируса в Word 2000 он производит дополнительные действия: выключает (устанавливает в минимум) установки безопасности (антивирусную защиту).

Код вируса хранится в одном макро модуле "Melissa" и состоит из одной авто-процедуры: в зараженных документах это "Document_Open", в NORMAL.DOT (область глобальных макросов) - "Document_Close". Вирус заражает NORMAL.DOT при открытии зараженного документа и записывается в другие документы при их закрытии. При заражении вирус копирует свой код построчно из зараженного объекта в файл-жертву. В случае заражения области глобальных макросов вирус переименовывает свою процедуру в "Document_Close", когда же происходит заражение документов, то вирусная процедура переименовывается в "Document_Open". В результате вирус заражает Word при открытии зараженного документа, а при закрытии других документов они, в свою очередь, оказываются зараженными.

Вирус также содержит процедуру-эффект, которая срабатывает в случае если день равен минутам в момент активации вирусного кода. Эта процедура вставляет следующий текст в редактируемый документ: Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.

Этот текст, так же, как и прозвище автора вируса ("Kwyjibo"), взят из телевизионного мульт-сериала "Симпсоны" ("Simpsons"). Вирус также содержит комментарии в своем коде:

WORD/Melissa written by Kwyjibo

Works in both Word 2000 and Word 97

Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!

Word -> Email | Word 97 Word 2000 ... it's a new age!

[17] Explorer, семейство

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Также ищут и поражают *.SYS- файлы. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своих внутренних счетчиков перехватывают INT 15h, 1Ch и проявляются каким-то видео-эффектом.

[18] I-Worm.LoveLetter

Этот Интернет-червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из Интернета и устанавливает в систему троянский файл. Червь также способен распространяться через IRC-каналы.