О Вирусах
Win95.CIH (1-3)
Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под
управлением операционной системы Windows 95. При заражении файлов
вирус не увеличивает их длины, а использует довольно интересный
механизм заражения файлов. Каждая кодовая секция EXE PE файла выравнена
на определенное количество байт, обычно, не используемых программой. В
такие области вирус и записывает части своего кода, "разбрасывая" их
иногда по всему файлу (или по всем кодовым секциям). А также вирус
может записать свою стартовую процедуру (процедуру, первой получающей
управление при запуске программы) или даже весь свой код в область
заголовка EXE PE файла и установить точку входа программы на эту
стартовую процедуру. Таким образом, точка входа файла может не
принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти посредством
вызова функции PageAllocate и "собирает себя по частям" в единое целое
в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API
и отдает управление программе-вирусоносителю. При открытии файлов с
расширением EXE и форматом PE вирус инфицирует их.
26 числа каждого месяца вирус уничтожает содержимое Flash BIOS,
записывая в него случайные данные ("мусор"). В результате после первой
же перезагрузки компьютер перестает загружаться. И, как правило, даже
в промышленных условиях восстановить содержимое Flash BIOS и вернуть
работоспособность компьютеру достаточно сложно. Я РЕКОМЕНДУЮ всем
пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на
материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash
BIOS! Иначе ВЫ можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер!
В настоящее время существует 3 модификации вируса Win95.CIH длиной
1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
Win95.Apparition
Опасный полиморфный вирус, заражающий *.EXE файлы в фоpмате Portable
Executable (PE). Hаписан на языке Borland C++, содеpжит в своем теле
компpессиpованные файлы с исходными текстами, имеет значительный
pазмеp - около 80 Kb и занимает около 200 Kb памяти. Пpи заpажении
дописывает свой код и исходные тексты в начало файла, стаpое содеpжимое
поpтит, замещая опpеделенные байты кода пpогpаммы байтами 0FFh, 0FFh, ?
(? - байт со случайным значением в диапазоне от 0 до 255). При запуске
инфициpованной пpогpаммы виpус пpовеpяет в секции [WinApp32] файла
Win.Ini наличие пеpеменных "Logging", "ShowDotsOn" и "NoInfect",
упpавляющих pежимами его pаботы, устанавливает собственный обpаботчик
кpитических ошибок, опpеделяет тип опеpационной системы, пеpеносит свой
код из инфициpованного файла в память, котоpая будет использоваться для
заpажения файлов, и загpужает инфициpованную пpогpамму. Для этого он
создает вpеменный файл, пеpеносит в него код и данные, находящиеся за
телом виpуса, и запускает этот вpеменный файл на исполнение в pежиме
отладки. Виpусный обpаботчик особых ситуаций отладки получает
упpавление пpи исполнении инстpукций, замененных виpусом, и
восстанавливает измененные байты кода. После загpузки пpогpаммы виpус
пpовеpяет наличие своей копии и, если она активна, завеpшает pаботу.
Иначе он создает стандаpтное "скрытое" окно, устанавливает обpаботчики
системных событий и начинает обычный для Windows-пpиложений цикл их
обpаботки. Пpи получении упpавления по событию от системного таймеpа
виpус сканиpует каталоги, начиная с коpневого каталога пеpвого
доступного логического диска. Пpи каждом обpабатываемом сигнале таймеpа
виpус ищет следующий файл или каталог и таким обpазом оpганизует поиск
файлов-жеpтв. Если pасшиpение файла ".EXE" и имя не "BCC32", виpус
пpедпpинимает попытку опpеделить тип файла и, если файл имеет фоpмат
Portable Executable и пеpеменная "NoInfect" в файле Win.Ini не имеет
значения "Yes", заpажает его. Для этого он создает вpеменный файл,
записывает в него свое тело, компpессиpованные исходные тексты и
дописывает заpажаемый файл. Пpи записи файла-жеpтвы виpус ищет
последовательности из 3 опpеделенных байт и заменяет пеpвые два байта
на 0FFh, последний - на байт со случайным значением в диапазоне от 0 до
255. Поскольку пpи этом виpус не пpоизводит никаких дополнительных
пpовеpок, некотоpые пpогpаммы могут быть безнадежно испоpчены. Если же
имя найденного файла - BCC32.EXE, виpус пpовеpяет наличие на диске
дpугих файлов компилятоpа Borland C++ и, если они пpисутствуют,
пpиступает к генеpации очеpедной полимоpфной копии. Сначала он
pаспаковывает файлы со своими исходными текстами и сохpаняет их во
вpеменном каталоге. Затем он начинает создавать их копии, пpичем после
записи каждой стpоки может пpоисходить генеpация исходного текста
"мусоpного" кода - вызовов некотоpых функций API, аpифметических
опеpаций, пpоцедуp-"пустышек", объявлений неиспользуемых пеpеменных и
т.д. После записи копий виpус создает файл pесуpсов и некотоpые дpугие
файлы, необходимые для компиляции полученных исходных текстов, котоpую
виpус и осуществляет пpи помощи найденных пpогpамм Borland C++. Если
компиляция закончилась успешно, виpус аpхивиpует исходные тексты
утилитой EXTRACT.EXE, пеpезаписывает в них некотоpые значения
пеpеменных, зависящие от pазмеpов полученного исполняемого модуля и
упакованных текстов, и пеpекомпилиpует пpоект. После этого все
вpеменные файлы удаляются, а содеpжимое полученного исполняемого модуля
и аpхивиpованных исходных текстов замещает буфеpа в памяти,
пpедназначенные для заpажения файлов.
Win95.Boza (1-4)
Неопасный нерезидентный вирус, заражающий NewExe файлы в формате PE
(MS-Windows'95) в текущем каталоге диска. При заражении файлов вирус
использует прямые вызовы в модуль KERNEL32 по определенным адресам.
У инфицированного файла вирус инкрементирует количество секций в
PE - заголовке (NumberOfSections) и создает новую секцию с именем
".vlad". 31 числа вирус выводит на экран сообщение:
Bizatch by Quantum / VLAD
The taste of fame just got tastier!
VLAD Australia does it again with the world's first Win95 Virus
From the old school to the new..
Metabolis
Qark
Darkman
Automag
Antigen
RhinceWind
Quantum
Absolute Overlord
CoKe
Также вирус содержит текст "Please note: the name of this virus is
[Bizatch] written by Quantum of VLAD".Win95.Boza содержит массу ошибок,
в результате которых "нормальная жизнедеятельность" вируса,практически,
невозможна.
Win95.Companion
Неопасный нерезидентный вирус-спутник. Производит поиск *.EXE-файлов
в формате PE (Win95/NT) в текущем каталоге и заражение их. Вирус
присваивает PE-EXE-файлу расширение COM и записывает свой код в файл с
расширением EXE, вместо программного кода.
Win95.Harry.1536 (1,2), 2560
Опасные "резидентные" вирусы. Заражают PE EXE-файлы. При старте
инфицированного файла вирусы внедряются в ядро Windows 95, в область
данных драйвера VMM (если там есть свободное место) и "перехватывают"
файловые функции системы (IFS API). При открытии PE EXE-файлов вирусы
заражают их, записываясь в конец этих файлов в область последней секции
и модифицируя PE заголовок (характеристики последней сегментной
секции). Win95.Harry.2560 проявляется интересным видео-эффектом -
изменяет курсор мыши на изображение медицинского шприца. Для этих целей
вирус создает файл C:\suringe.cur и регистрирует его в системе.
Win95.Harry.1536 содержит текст "Anxiety.Poppy.95 by Vicodin",
Win95.Harry.2560 имеет строки "Fuck Harry by Quantum / VLAD", "\Control
Panel\Cursors", "Arrow".
Win95.Inca
Опасный резидентный полиморфный файлово-загрузочный вирус. Win95.Inca
заражает EXE файлы в формате PE (Portable Executable) для операционной
системы Windows 95/98 и загрузочные сектора гибких дисков. А также
Win95.Inca является вирусом-червем для ARJ, LHA, LZH, PAK, RAR и ZIP -
архивов и программы mIRC32. При старте инфицированного PE EXE - файла,
вирус получает управление и полиморфный декриптор расшифровывает
основной код вируса. Причем расшифровка производится достаточно
необычным способом - в первоначальном варианте основной вирусный код
представляет собой таблицу индексов или смещений оригинальных байтов
вирусного тела. И под расшифровкой в данном случае следует понимать
оригинальную подстановку или трансляцию расшифровщиком вирусных байт на
место их однобайтовых индексов или смещений. После данной "сборки"
своего кода вирус определяет по "уже стандартному" для данных типов
вирусов алгоритму адреса интересующих его функций в KERNEL32.DLL и
создает на диске файл C:\W95INCA.COM, в который записывает код
полиморфного DOS COM дроппера. Данный полиморфный 16-тиразрядный DOS
код уже был сгенерирован при заражении PE EXE - файла, поэтому
"дополнительных усилий" для создания полиморфной копии вирусом на
данном этапе не предпринимаются. После чего созданный файл закрывается,
запускается вирусом на выполнение и после некоторой задержки -
удаляется. Далее вирус отдает управление инфицированному PE файлу -
вирусоносителю. Это все действия, которые выполняет вирусный код,
находящийся в PE EXE - файле. Поэтому, можно рассматривать
инфицированные PE EXE - файлы, как дропперы.
Запущенный на выполнение файл C:\W95INCA.COM, определяет Windows
директорию (WINDIR) и пытается создать в каталоге \WINDOWS\SYSTEM файл
с именем FONO98.VXD. При удачной попытке вирус распаковывает по
простейшему алгоритму код своего 32-ухразрядного VxD - драйвера,
который находится внутри 16-тиразрядного DOS кода, и записывает его в
созданный им FONO98.VXD файл. Далее вирус открывает файл кофигурации
Windows SYSTEM.INI, ищет в нем раздел "[386Enh]" и сразу после этой
строки записывает строчку "device=fono98.vxd". После описанных
манипуляций, или, если строка "device=fono98.vxd" уже присутствует в
файле SYSTEM.INI, или файл FONO98.VXD был ранее создан в каталоге
\WINDOWS\SYSTEM, или же, если вирусу не удалось найти каталог WINDOWS,
то вирус завершает свою работу и возвращает управление DOS.
После перезагрузки системы и при новом старте Windows вирусный VxD -
драйвер FONO98.VXD загружается системой в память и получает управление.
Первым делом вирусный виртуальный драйвер удаляет системный VxD -
драйвер HSFLOP.PDR, находящийся в каталоге \WINDOWS\SYSTEM\IOSUBSYS.
Затем вирус читает в память код из своего же драйвера FONO98.VXD и
создает в памяти три разные полиморфные копии: для заражения PE EXE -
файлов, для заражения загрузочных секторов флоппи-дисков и для создания
16-тиразрядных DOS программ-вирусов (дропперов) в формате COM - файлов.
В дальнейшем, в текущем сеансе работы, до следующей перезагрузки
системы вирус будет заражать указанные объекты только этими копиями.
Win95.Inca относится к классу "медленных полиморфиков". Далее вирус
"перехватывает" IFSMgr FileSystemApiHook и Int 13h (дисковые операции),
устанавливая на них собственные обработчики событий.
Вирусный обработчик IFSMgr контролирует открытие файлов. При открытии
файлов с расширениями EXE и SCR, вирус проверяет их внутренний формат,
и если открывающиеся файлы являются Portable Executable, то вирус
заражает их, создав дополнительную кодовую секцию со случайным именем в
заголовке PE - файла и записывая в ее область свой полиморфный код. При
открытии архивных файлов c расширениями LHA, LZH, PAK, ZIP, ARJ или
RAR, вирус дописывает к данным архивам свой 16-тиразрядный полиморфный
код (червь) в формате COM - файла и модифицирует заголовки архивных
файлов таким образом, что данный вирус-червь оказывается помещенным
в архив в неупакованном виде (store format) и получает случайное имя,
состоящее из четырех букв, и расширение COM или EXE (например, AAAA.COM
или ABCD.EXE). При открытии файла MIRC32.EXE (программа для "разговора"
в Интернет) вирус записывает или дописывает в конец файла конфигурации
MIRC.INI строки "[fileserver]" и "Warning=Off". Также вирус создает
заново (если они существовали на диске) файлы SCRIPT.OLD, SCRIPT.INI,
INCA.EXE и REVENGE.COM. В файл INCA.EXE вирус записывает код
полиморфного 16-тиразрядного вируса-червя. В файл REVENGE.COM
записывается 231 байт троянского кода, перезаписывающего содержимое
CMOS - памяти. А в файл SCRIPT.INI вирус записывает текст вирусного
mIRC - червя. При старте программы MIRC32.INI по сценарию SCRIPT.INI
первым делом производится запуск файла INCA.EXE. Далее по этому же
сценарию производится посылка файлов SCRIPT.INI (mIRC - червя) и
INCA.EXE (вирусного дроппера) на компьютеры всех участников "разговора"
в Интернете. Если во время разговора появится текстовая строка
"el_inca", то по сценарию SCRIPT.INI произведется запуск троянской
программы REVENGE.COM. Если кем-либо будет "сказано слово" "ancev", то
вирусный сценарий "допустит" этого "сказавшего слово" к диску C:. Даже
если этот "сказавший слово" находится за тысячу верст от
инфицированного компьютера. И если во время "разговора" появится текст
"_29A_", то программа MIRC32.EXE завершит свою работу.
Вирусный обработчик дисковых операций Int 13h контролирует чтение
загрузочного сектора флоппи-диска A: и при возможности заражает его,
заместив оригинальный загрузчик своим полиморфным, и записывая на диск
еще свои копии.
При загрузке системы с такого инфицированного флоппи-диска, вирусный
загрузчик получит управление, прочитает из секторов диска в память весь
свой код, "перехватит" Int 1Ch (таймер), а затем и Int 21h. Задача
обработчика Int 21h простая - при первой же возможности попытаться
создать в каталоге C:\WINDOWS\SYSTEM файл FONO98.VXD и зарегестрировать
его в файле конфигурации SYSTEM.INI в разделе "[386Enh]". Задача точно
такая же, как и вирусного дроппера C:\W95INCA.COM, алгоритм работы
которого был описан в самом начале. Разница только в том, что дроппер
C:\W95INCA.COM определял системный каталог Windows по переменной
WINDIR. А обработчик Int 21h пытается разместить себя в определенном
каталоге C:\WINDOWS\SYSTEM. После данной попытки (удачной или нет)
вирус "отпускает" Int 21h и обезвреживает свою копию в памяти
компьютера.
Вирус содержит текст "El Inca virus".
Размер вирусного VxD - драйвера составляет 15327 байта.
Таким образом, все поражаемые вирусом объекты можно рассматривать, как
вирусоносители или дропперы, кроме создаваемого вирусом VxD - драйвера.
Этот VxD - драйвер устанавливает свою копию в память, и именно он,
поражает все остальные объекты. Но ведь он не заражает "себе подобных"-
VxD - драйверы. VxD - драйвер является только переносчиком инфекции,
а не инфицированным объектом.