WINDOWS ВИРУСЫ Win32.Halen Win32.Resur Resur.a,c Resur.b Resur.d Win32.Idele ИНТЕРНЕТ-ЧЕРВИ Worm.Shorm Worm.Linux.Ramen I-Worm.Trood I-Worm.Hermes I-Worm.Sint LINUX ВИРУСЫ Linux.Zipworm МНОГОПЛАТФОРМЕННЫЕ ВИРУСЫ Demig WINDOWS ВИРУСЫ Win32.Halen Неопасный нерезидентный полиморфный Win32-вирус. При...
WINDOWS ВИРУСЫ
ИНТЕРНЕТ-ЧЕРВИ
LINUX ВИРУСЫ
МНОГОПЛАТФОРМЕННЫЕ ВИРУСЫ
WINDOWS ВИРУСЫ
Win32.Halen
Неопасный нерезидентный полиморфный Win32-вирус. При запуске ищет PE EXE- и SCR-файлы в каталоге Windows, системном каталоге Windows, текущем каталоге и записывается в конец файлов.
По субботам в 19:00 (по Гринвичу, не по локальному времени) выводит сообщение и затем медленно сдвигает содержимое экрана вправо:
![win32.Halen ..::|| Your system was fucked by win32.Halen. Written by pxR' [MIONS] ||::..](https://www.kaspersky.ru/content/ru-ru/images/repository/pr/halen-8717.gif)
Win32.Resur
Неопасный Win32-вирус. Резидентен "на время жизни" родительского процесса. При запуске зараженного файла получает управление, запускает дополнительный процесс поиска и заражения файлов и возвращает управление программе-носителю. Вирусный процесс затем работает в фоновом режиме, ищет PE EXE-файлы в подкаталогах всех доступных дисков и заражает их.
При заражении вирус использует достаточно необычный и сложный метод - он "внедряет" свой код в структуру заражаемого файла таким образом, что код вируса становится полноценной частью файла. Тело вируса само по себе является обычным PE EXE-файлом и состоит из четырех секций: код, дата, ресурсы и таблица настроек адресов. В зависимости от структуры заражаемых файлов вирус либо вставляет в них все свои секции как независимые секции файла, либо дописывает некоторые свои секции к уже существующим. Затем вирус аккуратно модифицирует все необходимые поля PE-заголовка - стартовый адрес файла, адреса и размеры новых и увеличенных секций, количество секций и т.д.
Resur.a,c
Вирус содержит строки, которые в некоторых случаях выводятся на экран:
I already told you this but...
Warning! Don't close this window
Win32/Resurrection by Tcp/29A
Hey you, stupid
29A
Resur.b
"Родственник" первоначальной версии вируса. Вместо выводимого сообщения открывает Интернет-сайт "http://sennaspy.tsx.org". Также содержит строку-"копирайт":
Senna Spy Fenasoft 2000 Virus
Resur.d
Зашифрован. Для того, чтобы восстановить (расшифровать) свой код использует крайне нестандартный прием: специальным образом меняет базовый адрес программы (Image Base) и создает новую секцию настроек (Relocation Section) так. В результате процедура настройки программы на реальные адреса (стандартный процесс, происходящий при запуске приложений Windows) работает таким образом, что зашифрованный код вируса возвращается в исходное незашифрованное состояние.
Вирус содержит строку-"копирайт":
Win95/SVK by Tcp/29A
Win32.Idele
Резидентный зашифровнный Win32-вирус. При заражении файлов использует метод "без точки входа" (EPO - entry point obscuring), т.е. не изменяет стартовый адрес программы, а записывает команды перехода на свой код в середину кодовой секции заражаемого файла. В результате вирус получает управление не непосредственно при запуске зараженного файла, а в тот момент, когда получает управление соответствующая часть кодовой секции файла.
При активизации вирус создает фоновый процесс и возвращает управление программе-носителю. В результате вирус работает в фоновом режиме и активен вплоть до момента окончания работы зараженного файла, т.е. является "резидентным на время жизни процесса".
Вирус затем в фоновом режиме ищет все PE EXE-файлы на всех доступных дисках и заражает их. При заражении может испортить некоторые файлы.
Никак не проявляется. Содержит строку:
Idele virus version 1.9DoxtorL./[T.I]/Dec.Y2K'
ИНТЕРНЕТ-ЧЕРВИ
Worm.Shorm
Сетевой червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл). Написан на Delphi. Упакован утилитой компрессии PE EXE-файлов ASPack.
Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.
Также "ворует" пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.
[ Подробнее... ]
Worm.Linux.Ramen
Первый известный червь, заражающий системы RedHat Linux. Червь был обнаружен в середине января 2001 года. Распространяет свои копии (заражает удаленные Linux-системы) при помощи "дыры" в системе защиты RedHat Linux (так называемая дыра "переполнение буфера"). Эта "дыра" позволяет засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства администратора (пользователя). Используя эту дыру червь засылает на удаленные компьютеры короткий кусок своего кода, выполняет его там, докачивает свой основной код и стартует его.
Червь не тестировался в Вирусной Лоборатории, мы не имеем ни одного подтвержденного сообщения о зараженных компьютерах, и по этой причине все сказанное ниже следует читать как "червь должен делать это, если это действительно работает".
Червь использует три различные дыры в RedHat Linux версий 6.2 и 7.0. Эти дыры были обнаружены и закрыты летом-осенью 2000 года, более чем за 3 месяца до появления червя.
Код червя также содержит процедуры, направленные на взлом FreeBSD и SuSE, однако эти процедуры не используются.
[ Подробнее... ]
I-Worm.Trood
Интернет-червь. Распространяется EXE-вложениями в письмах электронной почты. Является EXE-файлом Win32 размером около 10Kb. Способен заражать только Win9x/ME.
При запуске EXE-файла червя (например, если пользователь откроет его из вложения) червь инсталлирует себя в систему и выводит сообщение:
Код червя также содержит строки:
I-Worm.Win9X.Troodon v1.0 Project
Developed by Clau.
[ Подробнее... ]
I-Worm.Hermes
Интернет-червь, распространяющийся во вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 30-килобайтной Win32-программой (упакован, после распаковки размер червя - 60K). Написан на Visual Basic.
Червь подключается к почтовой системе MS Outlook, считывает из адресной книги Outlook почтовые адреса и рассылает по ним сообщения:
Заголовок: Re:
Текст: [%SenderName%]
где %SenderName% является именем отправителя (как оно прописано в настройках системы).
Имя вложения выбирается случайно из вариантов:
Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr
[ Подробнее... ]
I-Worm.Sint
Интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 30-килобайтной Win32-программой. Написан на Visual Basic.
При запуске червь копирует себя в каталоги Windows с именами:
C:\Windows\Vicevi_teza_odvala.txt.exe
C:\windows\system\Vicevi_teza_odvala.txt.exe
Второй файл регистрируется в ключе авто-запуске системного реестра.
Червь также копирует себя с тем же именем в корневые каталоги всех доступных логических дисков (локальных и удаленных).
Затем червь подключается к почтовой системе MS Outlook, считывает из адресной книги все адреса и рассылает по ним сообщения:
Заголовок: Vicevi!
Имя вложения: Vicevi_teza_odvala.txt.exe
Текст письма выбирается случайно из 4-х вариантов:
Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti neke viceve koji cete sigurno oraspoloziti!
Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su smijesni!
Cao korisnice! Znam da sigurno nemas vremena da pogledas ove viceve koje ti saljem. Nadam se da ces imati vremena da ih pogledas!
Zdravo! Nemoram ti nista pricati...samo pogledaj ovu veliku kolekciju viceva ;)
[ Подробнее... ]
LINUX ВИРУСЫ
Linux.Zipworm
Безобидный Linux-вирус, добавляющий свои копии к ZIP-архивам. Заражает архивы только в текущем каталоге. При заражении вирус не использует внешние утилиты работы с ZIP-файлами, а самостоятельно обрабатывает внутренний формат архива. Копии вируса в архивах имеют одно из пяти возможных имен:
Ten motives why linux sux!
Why Windows is superior to Linux!
Is Linux for you? Never!
Is Linux immune to virus? NO!
zipworm!
Вирус также содержит текст-"копирайт":
elf zip worm vecna
МНОГОПЛАТФОРМЕННЫЕ ВИРУСЫ
Demig
Безобидный многоплатформенный вирус. Заражает файлы DOS, MS Windows и MS Office (Excel):
DOS: заражает COM-, EXE- и BAT-файлы
Win32: заражает PE EXE-файлы и системную библиотеку KERNEL32.DLL
MS Office: создает зараженную XLS-таблицу
Код вируса сам по себе является процедурой Win32 (PE EXE) и способен выполнять все свои действия только при работе под Win32. Прочие зараженные файлы являются "дропперами" основной компоненты вируса. Это означает, что при их запуске основные функции вируса неспособны активизироваться непосредственно из кода зараженного файла. Вместо этого создается дополнительный файл C:\DEMIURG.EXE, в который записывается основной код вируса, и этот файл затем запускается на выполнение.
Вирус является резидентным в среде Win23. Код вируса в зараженном файле KERNEL32.DLL перехватывает функции работы с файлами (открытие, копирование, перемещение, чтение/запись атрибутов файла) и заражает COM-, EXE-, BAT- и PE EXE-файлы, к которым идет обращение.
[ Подробнее... ]
