Образование - Касперский Лаб.

Весь текст 1152.7 Kb

Описания вирусов

← Предыдущая страница	Следующая страница →
1 ... 91 92 93 94 95 96 97  98 99

                    lives...
          The Judgement Day has come!

        Your system has been terminated.

        Yeke.2425 записывает в сектора дискет программный код,  который выводит
        на экран текст "This system has been terminated.".

Yerg.120, 126
        Неопасные резидентные вирусы. Имеют строку "Yerg?".

Yom.529
        Может  изменить  системную  дату  и  вывести  сообщение "yesterday once
        more".

Zabootovka (1-3)
        Содержат текст "ЗаBOOTовка".

Zappa
        Опасный  загрузочный  вирус.  4  декабря  выводит   текст "Dedicated to
        ZAPPA..." и уничтожает сектора первого жесткого диска.

Zarin.669
        Опасный  нерезидентный  вирус.  11  и 23 числа записывает в boot-сектор
        диска  C:  троянскую  программу, форматирующую 3 раза разными способами
        первую  дорожку  диска  C:. После записи "троянца" вирус выводит текст:
        "Andy Said:Zarin`iS dangerous!".

ZeroBug.1536
        Неопасный резидентный вирус. Иногда запускает рожицу (ASCII 1), которая
        двигается на экране и стирает все символы '0'.

Zhengxi.7271, 7307, 7313
        Неопасные  резидентные  полиморфные  стелс-вирусы. Инфицированные файлы
        содержат  два  "длинных"  полиморфных  расшифровщика.  Первый декриптор
        расшифровывает  основное  тело вируса  и  второй  декриптор, после чего
        отдает управление второму декриптору, который продолжает расшифровывать
        основной вирусный код. Расшифровка производится не последовательно байт
        за байтом или слово за словом, а произвольными "прыжками" по всему телу
        вируса.  При  получении  управления основной вирусный код перехватывает
        INT 01 и трассирует оригинальный обработчик INT 21h. Данная трассировка
        производится   для   поиска   определенной   последовательности   байт,
        присутствующих, как правило, во всех версиях DOS. При нахождении данной
        последовательности  байт  вирус  внедряет в оригинальный обработчик INT
        21h косвенный  межсегментный CALL на "длинный" прямой JUMP, находящийся
        также  в  оригинальном  обработчике.  Данный JUMP указывает на вирусный
        обработчик INT 21h. В дальнейшем резидентная копия может "перемещаться"
        по  различным  сегментам  памяти,  в  том числе, и в области UMB. После
        перехвата  INT  21h  вирус  строит  два  полиморфных  расшифровщика для
        восстановления  исходных  22  байт заголовка инфицированного EXE-файла.
        При  заражении  файла  вирус шифрует данные байты с помощью полиморфных
        механизмов,  основанных на некоторых случайных стартовых значениях. При
        восстановлении  данных байтов вирус также использует данные полиморфные
        механизмы.  Для файлов, инфицированных описанным выше методом, активный
        резидентный вирус использует стелс-алгоритмы. Но также вирус использует
        еще  один  вариант  заражения EXE-файлов, длина которых больше 32K. При
        заражении  таких  файлов  вирус считывает 6144 байт, следующих сразу за
        EXE-заголовком  и  пытается  найти  последовательность   байт,   обычно
        используемых  в  процедурах, написанных на языках высокого уровня. Если
        данные  байты  найдены,  то  вирус  производит некоторые дополнительные
        проверки  и  внедряет вместо байт процедуры 84 байта собственного кода,
        сохранив   предварительно   оригинальный   программный   код,   шифрует
        полиморфным  методом  основной вирусный код, который записывает в конец
        файла-жертвы.  Внедренный  в  середину  программы  код  из 84 байт, при
        получении    управления,   определяет   имя   стартовавшей   программы,
        устанавливает  указатель  на смещение вирусного тела в файле, считывает
        из  него 112 байт кода в область программного стека, расшифровывает его
        и  передает  ему  управление. Данный 122-байтный код считывает из файла
        исходные  84 байта  программной процедуры в их "законное" место и также
        расшифровывает их. Затем вирус пытается получить свободный блок памяти,
        (возможно  в области UMB) и читает из инфицированного файла в этот блок
        памяти  полиморфнозашифрованный  основной  вирусный  код и передает ему
        управление.  После собственной расшифровки вирус перехватывает INT 21h,
        описанным   выше   способом   и   возвращает   управление    программе-
        вирусоносителю.  Т.о.,  вирус  из  такой инфицированной программы может
        "выпрыгнуть",  может  "не выпрыгнуть" или "выпрыгнуть" при определенных
        условиях, например, при задании определенного ключа в командной строке.
        Для  таких  инфицированных  файлов  стелс-алгоритм  вируса не работает.
        Т.к.,  для  файлов  инфицированных  первым  способом,  вирус "включает"
        стелс-механизм, то, например, при архивировании зараженных EXE-файлов в
        архивных   файлах   окажутся  уже   "здоровые"  файлы.  Но автор вируса
        предусмотрел  и  этот  вариант. При запуске некоторых архиваторов (ARJ,
        ZIP,..) для  архивации файлов вирус создает файл со случайным именем от
        2  до  5  букв  и расширением COM, и записывает в него свою полиморфную
        копию.  В  результате архивный файл, наряду с "излеченными" EXE-файлами
        будет  содержать  и  COM-файл  с телом вируса. При запуске такого файла
        будет выведено сообщение "Abnormal program termination".Вирусы содержат
        текст:

        The Virus/DOS 0.54  Copyright (c) 1995 Zhengxi Ltd
        Warning! This program for internal use only!

        Для  пострадавших  от  данного  вируса  привожу   имя   их   создателя:
        Денис Петров 2:5030/287.14.

Zherkov.1922, 2435, 2968, 2970
        Неопасные резидентные вирусы. Zherkov.2345 на компьютерах с процессором
        386 и выше пытается блокировать отладку. Zherkov.2968,2970 периодически
        выводят на экран текст:

          ЬЬЬЬЬЬЬЬ ЬЬЬ      ЬЬЬ          ЬЬЬ                   ЬЬЬ
          ЫЫЫ  ЫЫЫ ЫЫЫ ЬЬЬЬ ЫЫЫ ЬЬЬЬЬЬЬЬЬЫЫЫЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЫЫЫЬЬ
          ЫЫЫ  ЫЫЫ ЬЬЬ ЬЬЬЬЬЫЫЫ ЬЬЬЬЬЬЬЬ ЫЫЫ ЬЬЬЬЬЬЬЬ ЬЬЬЬЬЬЬЬ ЫЫЫ
          ЫЫЫЬЬЫЫЫ ЫЫЫ ЫЫЫ  ЫЫЫ ЫЫЫ  ЯЯЯ ЫЫЫ ЫЫЫ  ЫЫЫ ЫЫЫ  ЯЯЯ ЫЫЫ
          ЫЫЫ  ЫЫЫ ЫЫЫ ЫЫЫ  ЫЫЫ ЯЯЯЯЯЫЫЫ ЫЫЫ ЫЫЫЬЬЫЫЫ ЯЯЯЯЯЫЫЫ ЫЫЫ
          ЫЫЫ  ЫЫЫ ЫЫЫ ЫЫЫ  ЫЫЫ ЫЫЫ  ЫЫЫ ЫЫЫ ЫЫЫ  ЬЬЬ ЫЫЫ  ЫЫЫ ЫЫЫ
          ЫЫЫ  ЫЫЫ ЫЫЫ ЫЫЫЬЬЫЫЫ ЫЫЫЬЬЫЫЫ ЫЫЫ ЫЫЫЬЬЫЫЫ ЫЫЫЬЬЫЫЫ ЫЫЫ

        ЫЫЫЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ ЫЫЯЯЯЯЯЯЯЯЯ
        ЫЫЫ ЫЫЫЯЫЫЫ ЫЫЫЯЫЫЫ ЫЫЫЯЯЯЯ ЫЫЫ ЫЫЫ ЫЫЫ   ЫЫЫ ЫЫЫ ЫЫ  ЫЫЫЯЫЫЫ
        ЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫЯЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫ Ы ЫЫЫ ЫЫЫЯЫЫЫ ЫЫЫЬЫЫЫ
        ЫЫЫ ЫЫЫЬЫЫЫ ЫЫЫЬЫЫЫ ЫЫЫЬЫЫЫ ЫЫЫЬЫЫЫ ЫЫЫЬЫЬЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫ ЫЫЫ
        ЬЬЬЬЬЬЬЬЬЬЬ ЫЫЫ ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЫЫЫ ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬ

ZhugeLiang.4784, 5976
        Неопасные  резидентные  полиморфные  вирусы.  ZhugeLiang.4784  10  июня
        периодически  издает "музыкальные"  звуки.  Не заражают файлы: COMMAND,
        IBM,  TB,  EMM386,  SETVER,  MSCDEX,  CHKDSK,  SCANDISK, XCOPY, BACKUP,
        MSBACKUP, PKZIP, ARJ, LHA, RAR, TELIX, COMMO. Содержат тексты:

        ZhugeLiang.4784:

        ZhugeLiang v1.0b  Written by Zhuge Jin on May 1., 1995 .
        Made in Taiwan.  Today is my Birthday 64/05/01 ! Oh! Yeah!

        ZhugeLiang.5976:

        ZhugeLiang v2.0  by Zhuge Jin in Taipei, 1995.

Zipper.2779 (1-3)
        Неопасный  резидентный  вирус.  Первым  делом  пытается  заразить файлы
        \COMMAND.COM, \DOS\FORMAT.COM. Внутри себя содержит ZIP-архив  с файлом
        ZIPPER.ASM.   При  трансляции  данного  исходного  текста  (ZIPPER.ASM)
        получается неопасный резидентный вирус Zipper.303. Zipper.2779 содержит
        текст ">>*>> Use PKUNZIP *.EXE immediately! <<*<<".

Zmiana.1024 (1,2), 1224, 1383
        Резидентные шифрованные вирусы.Zmiana.1024(1) в пятницу 13 числа портит
        последний байт MBR жесткого диска, в результате чего система перестанет
        загружаться с "винчестера" и устанавливает системную дату на 25 декабря
        1994 года. Zmiana.1224  иногда  выводит сообщение:

        Info: zmiana rozmiaru programu !

Znosko.509, 1311, 1372, 1380, 1418, 1730
        Данные вирусы названы так по той причине, что во всех исходных текстах,
        конфискованных  бдительной  общественностью  у  автора  данных вирусов,
        содержатся следующие тексты:

        ;*************** virus 'Zarina Tamara'***************
        ;******* created by dima znosko ******

        Очень опасные нерезидентные (Znosko.1730 - шифрованный) вирусы.Заражают
        COM  (Znosko.1730  также  EXE)  файлы  на всех дисках во всех доступных
        каталогах  за  один  проход.  При  заражении файлов используют файловые
        функции  FCB INT 21h. Znosko.1372, 1380 после 19 числа месяца разрушают
        все  файлы  на  дисках.  Znosko.1311,  1418  после  11   числа   месяца
        переименовывают все найденные файлы в файлы с  именами  типа  AAAAAAAA,
        BAAAAAAA, BBAAAAAA,...  Znosko.1372,  1380,  1418  содержат текст "Find
        FizFuck". Эти вирусы оставляют метку своего пребывания на дисках в виде
        файлов IMAGE.IDX или WSURC.DMA в корневом каталоге.При нахождении таких
        файлов  на  диске  вирусы  повторные  попытки  заражения  такого  диска
        принимают   значительно   реже.   Znosko.1730   пытается   найти   файл
        C:\WIN95\WRIVDR.CNF,  и  если находит его, то считывает 2000 байт этого
        файла  в  память  и  отдает  ему  управление по смещению 0. Znosko.1730
        пытается  уничтожить  файлы  *.CPP,  *.BAK и *.C, записывая в них текст
        "Сpочно обpатитесь к администатоу сети.".  Znosko.509  выводит на экран
        текст "Zarina Tamara".

Zombie.1922
        Опасный   резидентный   зашифрованный   вирус.    Является   "продуктом
        жизнедеятельности" вируса Win95.Zombie.  Но в  дальнейшем  может  "жить
        собственной полноценной жизнью". Win95.Zombie создает файлы ZSetUP.EXE
        в корневых каталогах инфицируемых  дисков.  При  запуске  такого  файла
        ZSetUP.EXE вирусный код получает управление и пытается выяснить  сможет
        ли он (вирус) открыть на запись RAM Shadow.  Далее производится попытка
        найти блок свободной памяти (нулевых байт) длиной 2122 байта в сегменте
        0C000h.  Если ему это не удается,  то вирус выясняет адрес расположения
        системного фонта размером 8x14.  Если данный фонт находится в  сегменте
        0C000h,  а также если адрес оригинального обработчика INT 13h находится
        в сегменте 0F000h, то вирус открывает RAM Shadow на запись и записывает
        свой код в область нулевых байт или в область  системного  фонта  8x14.
        Затем вирус модифицирует оригинальный обработчик  INT  13h,  внедряя  в
        него команду передачи управления на собственную процедуру.  После этого
        RAM Shadow "закрывается" - запись в  нее  становится  невозможной.  При
        чтении сектора  (f.2  Int  13h)  с  начальной  сигнатурой  "MZ",  вирус
        "перехватывает" INT 21h,  обработчик которого заражает в дальнейшем все
        запускаемые или открываемые на чтение или запись EXE-файлы.  При чтении
        секторов,  содержащих элементы каталогов или файлов,  вирус  производит
        поиск последовательности байт: ADINF, AIDS, AVP, WEB, DRWEB, °°°,  CPP,
        C, S-ICE, TD, DEBUG,  WEB70801,  CA.  В случае нахождения таковых вирус
        устанавливает в прочитанном секторе для найденного элемента первый байт
        0E5h - признак удаленного файла и  "забивает"  дальнейшее  имя  нулями.
        Таким образом,  при активном вирусе операционная система не будет  даже
        подозревать о наличии данных файлов на диске.  Вирусные обработчики INT
        13h  и  INT  21h  при  получении  управления  "открывают"  RAM  Shadow,
        производят  свои  действия  и  обратно  "закрывают"  RAM  Shadow.   Без

← Предыдущая страница	Следующая страница →
1 ... 91 92 93 94 95 96 97  98 99

Ваша оценка:	Подпишусь под каждым словом (+3) Понравилось (+2) Нормально (+1) Посредственно (-1) Ерунда какая-то (-2) Чушь собачья (-3)
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:

Комментарии (16)