WINDOWS ВИРУСЫ Win32.HIV WinREG Win95.ZHymn LINUX ВИРУСЫ Linux.Winter СЕТЕВЫЕ ЧЕРВИ I-Worm.Energy I-Worm.PIF.Fable IRC-Worm.Godog I-Worm.Req JS.Trojan.Seeker TestWorm IRC-Worm.Tetris WINDOWS ВИРУСЫ Win32.HIV Опасный зашифрованный Win32-вирус, размер - более 6Kb. Заражает PE EXE-файлы (приложения...
WINDOWS ВИРУСЫ
LINUX ВИРУСЫ
СЕТЕВЫЕ ЧЕРВИ
WINDOWS ВИРУСЫ
Win32.HIV
Опасный зашифрованный Win32-вирус, размер - более 6Kb. Заражает PE EXE-файлы (приложения Windows) на диске и в MSI-архивах, рассылает по электронной почте XML-скрипты, которые загружают на компьютер копию вируса из Internet.
Вирус использует анти-отладочные приемы и завешивает систему, если обнаружен стандартный отладчик или отладчик SoftICE.
Вирус пытается отключить встроенную в Windows систему защиты файлов (Windows File Protection). Под Win98 вирус записывает пустые данные в файл DEFAILT.SFC, под Win2000 - в файл SFCFILES.DLL. Этот прием, видимо, работает только под Win98. Win2000 либо блокирует доступ к файлу SFCFILES.DLL, либо немедленно восстанавливает его из резервной копии.
[ Подробнее... ]
WinREG
Первый известный вирус, заражающий .REG-файлы Windows (файлы настройки реестра). Принцип работы вируса заключается в том, что из ключей реестра можно вызывать DOS batch-программы (BAT-команды), при этом сам BAT-код хранится в том же ключе реестра.
Вирус является одной командой в формате REG-файлов Windows. Эта команда, когда обрабатывается утилитой REGEDIT, переносится в ключ системного реестра
[ Подробнее... ]
Win95.ZHymn
Опасный резидентный Win9x-вирус размером около 20K. Написан на ассемблере. Заражает PE EXE-файлы Windows. При заражении записывается в середину файла.
Содержит большое количество процедур, кторые выполняют самые разнообразные действия: заражают .EXE- и .SCR-файлы Windows; добавляют зараженные файлы к содержимому архивов RAR и ZIP; портят антивирусные файлы на дисках и антивирусные мониторы в памяти Windows; производят различные анти-отладочные действия; и т.д.
[ Подробнее... ]
LINUX ВИРУСЫ
Linux.Winter
Безобидный нерезидентный Linux-вирус. Имеет крайне небольшой размер - всего 341 байт. При запуске зараженного файла вирус получает управление, ищет ELF-файлы (выполняемые файлы Linux) в текущем каталоге и заражает их. При заражении вирус записывается в середину файла в секцию дополнительной информации о файле (Notes section), если такая присутствует и имеет достаточный размер. Первоначальные данные этой секции оказываются затертыми кодом вируса, однако не влияет на нормальное выполнение программы.
Вирус содержит строки:
LoTek by Wintermute
Вирус также содержит процедуру, которая изменяет имя хоста (имя компьютера) на "Wintermute", однако эта процедура никогда не получает управления.
СЕТЕВЫЕ ЧЕРВИ
I-Worm.Energy
Интернет-червь, заражающий отправляемые RAR-архивы. Попадает на компьютер в виде файла SETUP.EXE в RAR-архиве, который вложен в письмо.
При запуске червя он копирует себя в системный каталог Windows с именем ENERGY.EXE, регистрируется как системный процесс и остается в памяти Windows. Затем в фоновом режиме червь перебирает все активные процессы и ищет те их них, которые работают с почтовой системой (с библиотекой MAPI). Если такой процесс найден, червь копирует себя в область процесса и перехватывает функцию отправлки писем (MAPISendMail).
Если отправляется письмо с вложенным RAR-архивом, то червь открывает архив и записывается в него под именем SETUP.EXE. Таким образом, все RAR-архивы, посылаемые с зараженного компьютера, оказываются зараженными.
Червь содержит текст:
[I-Worm.Energy] by Benny/29A
I-Worm.PIF.Fable
Данный червь представляет собой PIF-файл и является первым известным Интернет-червем в формате PIF (Program information file).
В зараженной системе файл-червь встречается в трех видах:
- собственно как PIF-файл;
- как BAT-файл для распространения самого себя в пределах локальной машины;
- как INI-скрипт для распростанения через IRC;
При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции.
Червь также создает дополнительный VBS-скрипт для распространения через электронную почту.
[ Подробнее... ]
IRC-Worm.Godog
IRC-червь, поражающий клиента mIRC и рассылающий себя в IRC-каналы. Является DOS-программой. При запуске копирует себя в каталог MIRC под именем GhostDog.exe и создает там же управляющий скрипт-файл SCRIPT.INI. Даный файл содержит инструкции, которые передают копию червя в IRC-канал при подключении к нему новых пользователей. Скрипт червя также не показывает сообщения, если в них содерджится строка "virus" или "worm".
Отличительной особенностью червя является тот факт, что скрипт-команды в файле SCRIPT.INI полиморфны: они могут быть переставлены местами; между ними может присутствовать случайно сгенерированные строки-комментарии; текстовые символы самих команд имеют случайно выбранный регистр (большие/маленькие символы). Например:
n0=$40Yw840RIGlx6Amlp7G0JaZ4QTs840N
n1=On 1^tExt^*WoRm*^*^{ /Ignore $nick | /closeMsg $NiCk }
n2=$HyX5NMq840KBAfrpTGfj7Z0DuT5J6m840GXWb1lQcbe7V0ZpT5F5j840CTRwihMYW
Несмотря на такой необычный вид скрипт-команды червя вполне работоспособны.
I-Worm.Req
Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя.
[ Подробнее... ]
JS.Trojan.Seeker
Эта скрипт-программа на языке JavaScript скрытно изменяет домашнюю страницу и страницу поиска броузера не запрашивая подтверждения пользователя.
Скрипт, используя брешь в защите MS Internet Explorer 5.0 (Typelib security vulnerability), создает в каталоге автозагрузки Windows HTA-файл, который при следующем старте Windows изменяет ключи системного реестра, в которых записаны адреса домашней и поисковой страниц браузера. При этом старые значения этих ключей сохраняются в файлах BACKUP1.REG и BACKUP2.REG в каталоге Windows. После того как HTA-файл отработал, он удаляет сам себя.
TestWorm
Зашифрованный вирус-червь, заражающий Tornado BBS (Доска Объявлений - Bulletin Board System). При запуске на компьютере, где установлено программное обеспечение Tornado BBS, червь определяет имя каталога новых файлов и копирует туда себя под именем TESTWORM.COM. Затем червь определяет имя файла со списков доступных на BBS файлов (FileList - обычно этим файлом является FILES.BBS) и записывает туда ссылку на свою копию. Ссылка содержит текст:
Internet cracker (NEW)
Червь также содержит текст:
Misdirected Youth
IRC-Worm.Tetris
IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер).
[ Подробнее... ]
