Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Реклама    

liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Касперский Лаб. Весь текст 1152.7 Kb

Описания вирусов

Предыдущая страница Следующая страница
1 ... 65 66 67 68 69 70 71  72 73 74 75 76 77 78 ... 99
6500,6727,6982,6996,7008(1,2),7033(1,2),7034,7640
        Очень опасные полиморфные файлово-загрузочные вирусы. Заражают COM,EXE,
        BIN, SYS-файлы, а также главную загрузочную запись (MBR) жесткого диска
        и  загрузочные  сектора  (Boot  Sectors)  дискет.  Данные  вирусы имеют
        довольно  мощный  полиморфный  механизм. Инфицированные COM и EXE-файлы
        (а  также  SYS-файлы  для  вирусов  длиной  более  6425  байт) содержат
        несколько  декрипторов,  поочередно  расшифровывающих  друг  друга. При
        расшифровке  основного  тела вирусами длиной 2890,2990,3021, 3427,5375,
        5413, 5440, 5589, 6082  и  6100  байт используется  внутренний конвейер
        процессора, поэтому  на компьютерах с процессором Pentium данные вирусы
        распространяться  не  смогут.  EXE-файлы  менее  64K  вирусы  заражают,
        превращая  в  формат  COM-файла. При старте вируса из такого файла,  по
        окончании   своей   работы,   производится   дополнительная   настройка
        перемещаемых  элементов  (relocations). При заражении COM и  EXE-файлов
        вирусы  внедряют  свой  код  в середину  файлов, зашифровав и  перенеся
        предварительно программный код в конец файлов. В BIN и SYS-файлы вирусы
        записываются  в  их конец, не шифруя свой код (вирусы длиной более 6425
        байт - шифруют). При первом старте   вирусы заражают MBR "винчестера" и
        отдают  управление  программе-вирусоносителю.  При  загрузке  системы с
        такого  диска,  вирусы  "перехватывают"  INT  1Ch,  ждут загрузки DOS и
        "перехватывают" INT 13h,1Ch,21h, 28h. При старте первой программы через
        функцию EXEC (f.4Bh Int 21h) вирусы пытаются получить свободный участок
        памяти через функцию распределения памяти (f.48h Int 21h),куда копируют
        и  оставляют  резидентным  свой  код.  По  возможности  вирусы пытаются
        установить свои резидентные копии в область UMB. Int  1Ch  используется
        иногда  вирусами  для  проигрывания мелодии "Я на солнышке лежу..."  из
        известного  мультфильма. Непосредственную  опасность  для  пользователя
        представляет  "перехват"  вирусами  INT 13h (операции с диском). Данное
        прерывание вирусы используют для заражения флоппи-дисков. А  также  для
        зашифровки  некоторой  информации  на  дисках.  При  чтении  или записи
        секторов вирусы (Nutcracker.AB2.2890, 2990, 3021, 3427, 4540) проверяют
        равно ли первое слово в буфере значению "MZ"- сигнатуре EXE-файлов.Если
        данное слово действительно  является  "MZ", то вирусы проверяют еще два
        последующих  слова  на  соответствие  данного сектора EXE-файлу, размер
        которого  более,  чем  65024 байта. Если данное условие выполняется, то
        вирусы зашифровывают данный сектор в буфере (512 байт) по определенному
        закону,  изменяют  сигнатуру "MZ" на "AB" и записывают его на диск. При
        чтении  такого  сектора,  вирусы проверяют равно ли первое слово "AB" и
        если  да,  то пытаются расшифровать данный сектор по известному закону.
        Таким образом, при чтении или запуске EXE-файлов  происходит зашифровка
        заголовков (512 байт) данных файлов на диске,но в памяти компьютера все
        выглядит "достаточно прилично", т.е., EXE-файлы читаются, запускаются и
        т.д.,  как  ни  в  чем  ни  бывало.  При копировании же таких файлов  с
        "больного"   компьютера   на   "здоровый",  данные  файлы   оказываются
        неработоспособными  и, скорее всего, "завесят" систему. При обнаружении
        вирусов с длинами  2890, 2990, 3021, 3427, 4540  в загрузочном секторе,
        программа  Dr.Web  начнет  сканирование  секторов всего диска (или всех
        жестких  дисков)  для  поиска  таких  зашифрованных  секторов   и   при
        нахождении оных, расшифрует их. Данная операция для моих  4-ех  жестких
        дисков емкостью более 4G длилась около 20 минут и не было обнаружено ни
        одной  ложной расшифровки. Но следует напомнить, что расшифровка  таких
        секторов  производится  сразу же после уничтожения вируса в загрузочном
        секторе  диска.  При  сканировании   таких   зашифрованных   файлов   в
        незараженной  системе  детектирование  этих файлов с  сигнатурой "AB" и
        расшифровка  их производиться НЕ БУДУТ. Вирусы длиной 6425, 6500, 6727,
        6982, 6996, 7008, 7033, 7640  байт  являются  полиморфиками  также  и в
        загрузочных секторах. Также  вместо  заголовков  EXE-файлов они шифруют
        первый сектор подкаталогов с помощью адреса вектора INT 00,находящегося
        в ПЗУ ROM  BIOS.  При нахождении вирусов  в  памяти  программа  Dr. Web
        исправляет вирусный резидентный код таким образом, что при сканировании
        всех файлов во  всех  каталогах происходит восстановление зашифрованных
        данных на дисках. Только необходимо произвести сканирование  дисков без
        перезагрузки  системы  после  обезвреживания  вирусного  кода  в памяти
        компьютера. Вирусы длиной  6082,6100,6500,6727 байт производят упаковку
        блока  заражаемого  файла,  поэтому длина файла после заражения данными
        вирусами может измениться на величину меньшую,чем длина вирусного кода.
        Вирусы  содержат  некоторые   ошибки,  в  результате  которых  возможно
        появление  системного   сообщения   "Divide overflow"   после   запуска
        некоторых файлов, а также возможно  "зависание"  системы  после  старта
        инфицированных программ. При  заражении  главной загрузочной записи MBR
        жесткого диска, после первой перезагрузки системы с нее, вирусы  (2990,
        3021,3427,4540 байт) шифруют часть загрузчика-47 байт с помощью первого
        байта вектора INT 00, находящегося в ПЗУ ROM BIOS.  Nutcracker.AB2.4540
        7 апреля выводит на экран текст "the Sun is gone but I have a light..."
        Nutcracker.AB2.6996  12  января  выводит текст  "Nutcracker(AB2): lives
        forever!", Nutcracker.AB2.6982  в этот же день пытается отформатировать
        первый жесткий диск. Nutcracker.AB2.7033 12 января  "вешает"   систему.
        Nutcracker.AB2.7008  12  числа  месяца  может  уничтожить информацию на
        жестком диске   компьютера. Nutcracker.AB2.7640   12  января   печатает
        содержимое на принтер (INT 5). А  также резидентная копия вируса длиной
        7640 байт контролирует  INT 27h  и при попытке какой-то программы (я не
        смог выяснить, что  это  за  программа)  остаться  резидентно в памяти,
        вирус пытается форматировать дорожки жесткого диска.Nutcracker.AB2.2890
        внедряет в SYS и BIN-файлы  троянский  код,  который  может  уничтожить
        содержимое CMOS -  памяти.  Nutcracker.AB2.6100  после  555  загрузок с
        жесткого  диска  уничтожает  содержимое  CMOS-памяти  и  по  100 первых
        секторов двух  жестких  дисков. Вирусы содержат зашифрованные тексты:

        Nutcracker.AB2.2990,3021,6082,6982,7008,7033:  Nutcracker(AB2)

        Nutcracker.AB2.7640: Nutcracker/AB2

        Nutcracker.AB2.3427,4540: Universal Pathologic Device by Nutcracker(AB2)

        Nutcracker.AB2.5375, 5413, 5440, 5589:

        This Universal Pathologic Device dedicated to Любовь Н.
        I hate the envy, the meanness, the riches, the trea, the bluntness,
        the ignorance, the lie, the servility, the mistrust and the hatred.
        Nutcracker(AB2)

        Nutcracker.AB2.6100:  Nutcracker(AB2)
                              Любовь Н.

        Nutcracker.AB2.6425,6500,6727 иногда выводят на экран текст:

        Nutcracker(AB2): Welcome to the Hell

        Nutcracker.AB2.2990, 3021, 3427  не   заражают   файлы,   имя   которых
        заканчивается на NF, ADINF, видимо. Nutcracker.AB2.6425, 6500, 6727  не
        заражают  следующие  файлы SCAN, CLEAN, VSAFE, NAV, AVP,AIDS,GUARD,NOD,
        F-PROT,DESINF,VIRSTOP,VSHIELD,FINDVIRU,VIVERIFY,TB,RKSD,COMMAND,SETVER,
        CHKLIST,ADINF,SMARTCHK,ANTI-VIR,CHKDSK,PKZIP,PKLITE,WEB,DRWEB.

Nutcracker.AB3
        Опасный  резидентный  вирус.  12  января  и  23  июля  уничтожает по 40
        секторов логических дисков C:, D:, E:, F:, G:.  Запоминает в своем теле
        дату  старта  вируса  и  через  23  дня  замедляет  вывод   на   экран,
        "перехватывает"  INT  10h  (вывод на экран) и производит холостой цикл.
        Содержит текст "Nutcracker(AB3)".

Nutcracker.AB4
        Очень  опасный  резидентный  вирус.  Записывает  в  MBR  жесткого диска
        "троянский" код, который 12 января и 23 июля форматирует первые дорожки
        первого  и  второго  жесткого дисков. Также при старте любой программы,
        резидентная копия вируса увеличивает счетчик, находящийся в загрузочном
        секторе текущего диска по смещению 10.При достижении счетчиком значения
        64,  вирус  обнуляет  его  и  создает  на   данном   логическом   диске
        псевдосбойный кластер. Содержит текст "Sombre Nutcracker(AB4).

Nutcracker.AB5.2725, 2900, 3139
        Очень опасные резидентные вирусы. Пытаются быть невидимыми. При  каждой
        16 стартующей  программы  уничтожают  один случайный сектор на  текущем
        диске. Уничтожают файлы с  расширениями *.MS и *.?AS и таблицы ревизора
        диска ADinf. Не заражают файлы с именами, начинающимися  на  IB  и  CO.
        Записывает  в  MBR  жесткого  диска  "троянский" код, который после 512
        загрузок с жесткого диска может  уничтожить информацию на жестком диске
        и в CMOS-памяти и вывести сообщение:

        Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!

        Содержат текст "Only the Hope dies last!".

Nutcracker.AB6 (1-4)
        Очень опасные резидентные файлово-загрузочные вирусы.12 января пытаются
        отформатировать первый жесткий диск,после чего выводят на экран тексты:

        Nutcracker.AB6 (1)  -  "Dreary Nutcracker(AB6)"

        Nutcracker.AB6 (2)  -  "Dreary Nutcracker(AB6) Lives"

        Nutcracker.AB6 (3)  -  "Dreary Nutcracker(AB6) Lives Again"

        Nutcracker.AB6 (4)  -  "Dreary Nutcracker(AB6) lives forever !".

        Иногда изменяют символы, выводимые на  печать,  либо  совсем  блокируют
        вывод на принтер.  Удаляют  файлы,  имеющие  расширения FW, ?AS и MS (в
        последнем варианте вирус содержит ошибку). Содержат зашифрованный текст
        "Любовь Н.".

Nutcracker.AB7 (1,2)
        Неопасные резидентные файлово-загрузочные вирусы. Заражают MBR жесткого
        диска,  загрузочные  сектора  дискет и EXE-файлы, при их создании. EXE-
        файлы заражаются,  если  их  длина  не более 64K. Вирусы переводят их в
        формат  COM-файла,  внедряя  в  начало заголовка  JUMP на свое тело и в
        дальнейшем  самостоятельно  настраивая  адреса   таблицы   перемещаемых
        символов. При  загрузке  с  инфицированного диска вирусы оставляет свою
        копию   резидентно   в   памяти  (по  возможности  в  области  UMB)   и
        перехватывают  INT 9,13h,15h,21h,2Fh,40h.  При  нажатии на Ctrl-Alt-Del
        вирусы проверяют  наличие  своего кода в MBR и заражают его. При вызове
        функции  AH=13h INT  2Fh  (получить  адрес  дискового  драйвера) вирусы
        самостоятельно  удаляют  себя  из  MBR.  12  числа нечетного месяца при
        загрузке  системы  выводят   сообщение   "I'm Nutcracker(AB7)!",   ждут
        нажатия на клавишу и продолжают загрузку системы.

Nutcracker.Info.2133, 2142, 2259
        Неопасные резидентные вирусы-черви. При старте инфицированной программы
        вирусы выводят тексты:

        Nutcracker.Info.2133:

        InfoSystem  version1.02
        Reading System Information...
        Computer type: IBM PC

        Nutcracker.Info.2142:

        -*-  INFOSYSTEM  -*-
            version 1.04
        (C) 1995 by Ziff Co.
        Reading System Information...
Предыдущая страница Следующая страница
1 ... 65 66 67 68 69 70 71  72 73 74 75 76 77 78 ... 99
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (16)

Реклама