WINDOWS ВИРУСЫ Win98.Damm Win32.Hortiga ВИРУСЫ PALM Palm.Phage СЕТЕВЫЕ ЧЕРВИ I-Worm.Totilix I-Worm.Scooter Worm.Chainsaw I-Worm.MTX IRC-Worm.Lucky WINDOWS ВИРУСЫ Win98.Damm Неопасный резидентный Windows-вирус. Использует специфические функции ядра Win98 и способен размножаться только под Win98....
WINDOWS ВИРУСЫ
ВИРУСЫ PALM
СЕТЕВЫЕ ЧЕРВИ
WINDOWS ВИРУСЫ
Win98.Damm
Неопасный резидентный Windows-вирус. Использует специфические функции ядра Win98 и способен размножаться только под Win98. При запуске вызывает эти функции, переносит свой код в ядро Windows и перехватывает обращения к файлам (открытие, переименование, доступ к атрибутам). При этих вызовах проверяет, что файл является приложением Windows (PE EXE-файл) и записывается в конец файла.
Использует анти-отладочные приемы. Ищет антивирусные мониторы и отключает их (правит их код). Не заражает некоторые антивирусы и утилиты, файлы которых определяет по строкам:
AVP _AVP NAV TB F- WEB PAV GUARDDOG DRW SPIDER
DSAV NOD MTX MATRIX WINICE FDISK SCAN DEFRAG
[ Подробнее... ]
Win32.Hortiga
Неопасный нерезидентный Win32-вирус. При запуске ищет PE EXE-файлы (приложения Windows) и записывается в их конец, для этого создает в конце файла дополнительную секцию с именем ".|Zan".
Вирус также устанавливает простой proxy-сервер. Это означает, что хакер (автор вируса) может использовать зараженные машины как proxy-сервер, скрывая с его помощью свой реальный IP-адрес. Это позволяет хакеру "работать" в сети от имени зараженного компьютера.
[ Подробнее... ]
ВИРУСЫ PALM
Palm.Phage
Первый известный вирус, заражающий приложения PalmPilot. Вирус записывает свой код вместо кода приложений, и в результате зараженные приложения оказываются неработоспособными.
Приложения Pilot (.PRC-файлы - "выполняемые файлы" в терминах DOS/Windows) являются стандартными базами данных Pilot со специальным ресурсом "приложение" (application). При запуске приложений Pilot ресурс-"приложение" активизируется системой и затем выполняет предписанные ему действия. Для работы приложения система предоставляет ему библиотеку функций, при помощи которой приложение использует системные ресурсы и ресурсы баз данных.
Вирус при старте получает доступ к своему файлу и считывает из него ресурсы CODE и DATA. Затем вирус ищет все прочие приложения и записывает в них свои вирусные ресурсы CODE и DATA, при этом соответствующие ресурсы заражаемого файла оказываются потерянными (затертыми кодом и данными вируса).
СЕТЕВЫЕ ЧЕРВИ
I-Worm.Totilix
Очень опасный Интернет-червь, распространяющийся в электронных письмах. При запуске на компьютере записывает себя вместо всех EXE-файлов в каталоге Windows, кроме файлов EMM386.EXE, SETVER.EXE и файлов, заблокированных системой (например, EXPLORER.EXE).
Червь регистрируется в секции авто-запуска системного реестра для того, чтобы автоматически активизироваться при каждом рестарте Windows (непонятно зачем, поскольку после перезаписи всех EXE-файлов в каталоге Windows система перестает работать)
[ Подробнее... ]
I-Worm.Scooter
ВНИМАНИЕ! Вирус обнаружен в "диком" виде!
Вирус-червь, распространяющий свои копии по каналам IRC и зараженные электронные письма при помощи MS Outlook. Является 200-килобайтным EXE-файлов Windows, написан на Microsoft Visual C++. Был обнаружен "в живом виде" в сентябре 2000 в упакованной форме (размер около 170K, паковщик - PECompact).
Является "родственником" вируса-червя "Scrambler".
При запуске зараженного файла червь создает свою копию в системном каталоге Windows. Этот файл имеет случайное имя из пяти символов, например: HIJDE.EXE. Этот файл затем используется для заражения IRC-каналов и рассылки инфицированных писем.
[ Подробнее... ]
Worm.Chainsaw
Вирус-червь, распространяющийся по локальной сети. Также способен (в очень редких случаях) заражать удаленные компьютеры через Интернет.
При первом старте червь инсталлирует себя в систему. Для этого он копирует себя под именем WINMINE.EXE в системный каталог Windows и регистрирует этот файл в системном реестре в ключе авто-запуска.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Mines = path\WINMINE.EXE
где "path" является именем системного каталога Windows. Червь также создает еще одну свою копию с именем CHAINSAW.EXE в корневом каталоге диска. Затем червь прекражает свою работу и в следующий раз активизируется при перестарте Windows.
В зависимости от системной даты червь посылает по случайному IP-адресу специальное сообщение, которое может вызвать крах удаленной системы, если там установлена Win95/98 (по причине ошибки в соответствующих библиотеках Win95/98). Червь собирается это делать по 31-м числам, однако по причине ошибки сравнивает значение года, т.е. эта процедура срабатывает только если в системе установлен год 0031.
[ Подробнее... ]
I-Worm.MTX
Вирус-червь, заражающий системы под кправлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах.
Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor.
Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов.
[ Подробнее... ]
IRC-Worm.Lucky
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения клиентов mIRC и PIRCH. Передается из сети на компьютер в виде Windows PE EXE-файла LK7.EXE размером около 500Kb. При его запуске вирус инсталлирует себя в систему: копирует себя в каталог C:\WINDOWS, ищет и модифицирует системные скрипты клиентов mIRC и PIRCH в текущем каталоге, в каталогах C:\MIRC, C:\MIRC32 и C:\PIRCH98.
Червь также инсталлирует в систему троянца "NetBus". Для этого червь создает на диске его копию с именем IRCPATCH.EXE в каталоге C:\WINDOWS (код троянца вирус хранит в своем теле) и запускает ее на выполнение.
[ Подробнее... ]
