Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Прохождения игр    
Demon's Souls |#13| Storm King
Demon's Souls |#12| Old Monk & Old Hero
Demon's Souls |#11| Мaneater part 2
Demon's Souls |#10| Мaneater (part 1)

Другие игры...


liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Касперский Лаб. Весь текст 1152.7 Kb

Описания вирусов

Предыдущая страница Следующая страница
1 ... 87 88 89 90 91 92 93  94 95 96 97 98 99
        Windows 95 или Command  Interpreter  for  Windows  NT?  Или  программу,
        которая остается в  памяти  резидентно?  Правильно  -  вместе  с  такой
        программой, до тех пор пока данная программа не будет завершена,  будет
        "трудиться" и Win32.Cabanas.
        Win32.Cabanas содержит зашифрованный текст "(c) Win32.Cabanas v1.0 by
        jqwerty/29A".

Win95.Apparition
        Опасный полиморфный вирус,  заражающий *.EXE файлы в  фоpмате  Portable
        Executable (PE).  Hаписан на языке Borland C++,  содеpжит в своем  теле
        компpессиpованные  файлы  с  исходными  текстами,   имеет  значительный
        pазмеp - около 80 Kb и занимает около  200  Kb  памяти.  Пpи  заpажении
        дописывает свой код и исходные тексты в начало файла, стаpое содеpжимое
        поpтит, замещая опpеделенные байты кода пpогpаммы байтами 0FFh, 0FFh, ?
        (? - байт со случайным значением в диапазоне от 0 до 255).  При запуске
        инфициpованной пpогpаммы виpус  пpовеpяет  в  секции  [WinApp32]  файла
        Win.Ini  наличие  пеpеменных  "Logging",   "ShowDotsOn"  и  "NoInfect",
        упpавляющих pежимами его pаботы,  устанавливает собственный  обpаботчик
        кpитических ошибок, опpеделяет тип опеpационной системы, пеpеносит свой
        код из инфициpованного файла в память, котоpая будет использоваться для
        заpажения файлов,  и загpужает инфициpованную пpогpамму.  Для этого  он
        создает вpеменный файл,  пеpеносит в него код и данные,  находящиеся за
        телом виpуса,  и запускает этот вpеменный файл на исполнение  в  pежиме
        отладки.   Виpусный  обpаботчик  особых   ситуаций   отладки   получает
        упpавление   пpи   исполнении   инстpукций,   замененных   виpусом,   и
        восстанавливает измененные байты кода.  После загpузки пpогpаммы  виpус
        пpовеpяет наличие своей копии и,  если она активна,  завеpшает  pаботу.
        Иначе он создает стандаpтное "скрытое" окно,  устанавливает обpаботчики
        системных событий и начинает обычный  для  Windows-пpиложений  цикл  их
        обpаботки.  Пpи получении упpавления по событию от  системного  таймеpа
        виpус  сканиpует  каталоги,   начиная  с  коpневого  каталога   пеpвого
        доступного логического диска. Пpи каждом обpабатываемом сигнале таймеpа
        виpус ищет следующий файл или каталог и таким обpазом оpганизует  поиск
        файлов-жеpтв.  Если pасшиpение файла ".EXE" и  имя  не  "BCC32",  виpус
        пpедпpинимает попытку опpеделить тип файла и,  если файл  имеет  фоpмат
        Portable Executable и пеpеменная "NoInfect" в файле  Win.Ini  не  имеет
        значения "Yes",  заpажает его.  Для этого он  создает  вpеменный  файл,
        записывает в  него  свое  тело,  компpессиpованные  исходные  тексты  и
        дописывает  заpажаемый  файл.   Пpи  записи  файла-жеpтвы  виpус   ищет
        последовательности из 3 опpеделенных байт и заменяет пеpвые  два  байта
        на 0FFh, последний - на байт со случайным значением в диапазоне от 0 до
        255.  Поскольку пpи этом виpус  не  пpоизводит  никаких  дополнительных
        пpовеpок, некотоpые пpогpаммы могут быть безнадежно испоpчены.  Если же
        имя найденного файла - BCC32.EXE,  виpус  пpовеpяет  наличие  на  диске
        дpугих  файлов  компилятоpа  Borland  C++  и,  если  они  пpисутствуют,
        пpиступает  к  генеpации  очеpедной  полимоpфной  копии.   Сначала   он
        pаспаковывает файлы со своими исходными  текстами  и  сохpаняет  их  во
        вpеменном каталоге. Затем он начинает создавать их копии,  пpичем после
        записи каждой  стpоки  может  пpоисходить  генеpация  исходного  текста
        "мусоpного"  кода  -  вызовов  некотоpых  функций  API,  аpифметических
        опеpаций,  пpоцедуp-"пустышек",  объявлений неиспользуемых пеpеменных и
        т.д.  После записи копий виpус создает файл pесуpсов и некотоpые дpугие
        файлы, необходимые для компиляции полученных исходных текстов,  котоpую
        виpус и осуществляет пpи помощи найденных пpогpамм  Borland  C++.  Если
        компиляция  закончилась  успешно,   виpус  аpхивиpует  исходные  тексты
        утилитой  EXTRACT.EXE,   пеpезаписывает  в   них   некотоpые   значения
        пеpеменных,  зависящие от pазмеpов полученного  исполняемого  модуля  и
        упакованных  текстов,   и  пеpекомпилиpует  пpоект.   После  этого  все
        вpеменные файлы удаляются, а содеpжимое полученного исполняемого модуля
        и  аpхивиpованных  исходных   текстов   замещает   буфеpа   в   памяти,
        пpедназначенные для заpажения файлов.

Win95.Boza (1-4)
        Неопасный  нерезидентный  вирус,  заражающий  NewExe файлы в формате PE
        (MS-Windows'95) в текущем каталоге диска. При  заражении  файлов  вирус
        использует  прямые  вызовы  в  модуль KERNEL32 по определенным адресам.
        У  инфицированного  файла  вирус  инкрементирует  количество  секций  в
        PE - заголовке  (NumberOfSections)  и  создает  новую  секцию  с именем
        ".vlad". 31 числа вирус выводит на экран сообщение:

        Bizatch by Quantum / VLAD

        The taste of fame just got tastier!
        VLAD Australia does it again with the world's first Win95 Virus
        From the old school to the new..
        Metabolis
        Qark
        Darkman
        Automag
        Antigen
        RhinceWind
        Quantum
        Absolute Overlord
        CoKe

        Также  вирус  содержит  текст   "Please note: the name of this virus is
        [Bizatch] written by Quantum of VLAD".Win95.Boza содержит массу ошибок,
        в результате которых "нормальная жизнедеятельность" вируса,практически,
        невозможна.

Win95.Companion
        Неопасный  нерезидентный  вирус-спутник.  Производит поиск *.EXE-файлов
        в формате PE (Win95/NT)  в  текущем  каталоге  и  заражение  их.  Вирус
        присваивает  PE-EXE-файлу расширение COM и записывает свой код в файл с
        расширением EXE, вместо программного кода.

Win95.Harry.1536 (1,2), 2560
        Опасные  "резидентные"  вирусы.   Заражают  PE  EXE-файлы.   При старте
	инфицированного файла вирусы внедряются в ядро  Windows  95, в  область
        данных  драйвера VMM  (если там есть свободное место) и "перехватывают"
        файловые  функции  системы (IFS API). При открытии PE EXE-файлов вирусы
        заражают их, записываясь в конец этих файлов в область последней секции
        и  модифицируя  PE  заголовок  (характеристики   последней   сегментной
        секции).  Win95.Harry.2560  проявляется   интересным   видео-эффектом -
        изменяет курсор мыши на изображение медицинского шприца. Для этих целей
        вирус  создает  файл  C:\suringe.cur  и  регистрирует  его  в  системе.
        Win95.Harry.1536    содержит    текст    "Anxiety.Poppy.95 by Vicodin",
        Win95.Harry.2560 имеет строки "Fuck Harry by Quantum / VLAD", "\Control
        Panel\Cursors", "Arrow".

Win95.Jacky
        Неопасный  нерезидентный  вирус,  заражающий  файлы  в  формате PE. При
        старте вирус пытается определить  адреса  системных  файловых  функций,
        находящихся  в  ядре  Windows'95.  Далее  с  помощью этих функций вирус
        производит   поиск  и  заражение  файлов.  При  заражении  файла  вирус
        изменяет  характеристики  последней сегментной секции файла, записывает
        в  данную  секцию  свой  код и устанавливает на него точку входа. Вирус
        содержит зашифрованные строки:

        To My d34d fRi3nD c4b4n4s..
        A Win/NT/95 ViRuS v1.00.
        By: j4cKy Qw3rTy / 29A.
        jqw3rty@cryogen.com

Win95.Mad
        Неопасный  нерезидентный  шифрованный вирус.  Алгоритм  работы  данного
        вируса очень похожи на алгоритмы вируса Win95.Jacky.  Производит  поиск
        *.EXE файлов в формате Win PortableExe (PE) в  текущем  и  родительских
        каталогах  и   заражает  их.  При   заражении  файла   вирус   изменяет
        характеристики последней сегментной секции файла,  ее стартовый адрес и
        размер, и записывает свой код в конец файла.  В зависимости от текущего
        времени вирус может вывести окно сообщений с текстом:

        Multiplatform Advanced Destroyer
        Hello user your computer is infected by MAD virus
        Welcome to my first virus for Windoze95...
        Distribution & Copyright by Black Angel 1997

        Содержит текст "[MAD for Win95] version 1.0 BETA! (c)Black Angel`97".

Win95.Memorial
        Неопасный резидентный полиморфный вирус,заражающий DOS COM и EXE-файлы,
        а также *.EXE и *.SCR-файлы в формате PortableExe (PE). Является первым
        известным полиморфным вирусом для операционной  системы  Windows'95.  В
        DOS  файлах  и  в  VxD - драйвере  вирус  не  зашифрован.  При  запуске
        инфицированного  DOS  файла,  вирус  проверяет  наличие среды Windows и
        собственной  резидентной  копии  в  памяти  компьютера.  Если   Windows
        загружена или вирусная копия уже присутствует в системе,  то  вирус  не
        предпринимает никаких действий и отдает  управление программе-носителю.
        Если  же  данные  условия  не  выполняются,  то  вирус   создает   файл
        C:\CLINT.VXD  (инфицированные EXE-файлы содержат ошибку в создании VxD-
        драйвера),  записывает  в  него собственный распакованный  вирусный код
        (в зараженных файлах код виртуального драйвера хранится  в  упакованном
        виде) и оставляет в области второй половины таблицы векторов прерываний
        резидентный код, который "контролирует" INT  2Fh.  Данная   резидентная
        копия  не  заражает  файлы,  а  предназначена для возвращения ответа "я
        здесь"  и для загрузки виртуального вирусного драйвера C:\CLINT.VXD при
        старте  Windows.  При  инициализации  Windows  вирусный резидентный код
        получает  управление  и  достаточно  хитроумным   способом,   используя
        интерфейс   Windows,  "подсказывает"  среде  Windows,  что   необходимо
        загрузить  резидентно  в  память  драйвер  C:\CLINT.VXD. Таким образом,
        вирус без манипуляций с файлом SYSTEM.INI  загружает  свой  виртуальный
        драйвер. Данный драйвер  контролирует файловые операции и при обращении
        к DOS COM и EXE-файлам,  а  также к *.EXE и *.SCR файлам в формате PE -
        заражает  их.  При  заражении  PE  файлов, вирус создает дополнительную
        сегментную  секцию  с  названием  CLINTON   (обычно   данное   название
        зашифровано)  и  записывает  свой зашифрованный полиморфный код в конец
        файла.  При  старте  инфицированного  PE  файла  под  Windows'95, вирус
        определяет  адреса необходимых ему процедур в модулях KERNEL32 и USER32
        и,  при  отсутствии  вирусного  резидентного  кода  в  системе, создает
        вирусный  виртуальный  драйвер  в  корневом  каталоге и загружает его в
        систему  также  очень  интересным   способом   с   помощью   интерфейса
        Windows'95. Так, установка резидентной копии очень похожа по алгоритму,
        но  различается по реализации для различных операционных сред. Хотя и в
        том,  и  в другом случае необходимо наличие Windows'95. 10 апреля вирус
        выводит окно сообщений с текстом:

     Clinton Haines Memorial Virus by Quantum/VLAD and Qark/VLAD
     Clinton Haines, also known as Harry McBungus, Terminator Z and Talon
     died of a drug overdose on his 21st birthday, April the 10th, 1997.
     During his time as a virus writer he wrote the No Frills family, X-Fungus,
     Daemon and 1984 viruses.  He was a good friend to VLAD and so we write
     this virus in his honour.  We hope it's good enough to do him justice.

     VLAD Remembers. Rest in Peace

Win95.MrKlunky
        Неопасный  "резидентный"  вирус.  По способам  внедрения  в  систему  и
Предыдущая страница Следующая страница
1 ... 87 88 89 90 91 92 93  94 95 96 97 98 99
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (16)

Реклама