Форум - Software - Win32.Cabanas / Zombie.1922

#39665 by trojan.WinLock Антигерой Года (Информатор) в 2011-10-10 22:39:25 , (268 недели) назадTop




  Сообщений: 1145


15-летний мальчик из Венесуэлы создал самый распространенный в мире макровирус WM.Cap. Сейчас он написал новый первый в мире вирус, который может поражать файлы семейства 32-разрядных ОС Microsoft Windows (Win32s/Windows 95/Windows NT) - Win32.Cabanas. Этот вирус он прислал только двум разработчикам антивирусных средств, причем обоим из России: Евгению Касперскому и Игорю Данилову. И прислал не только вариант release, но и еще 3 отладочных варианта данного вируса. Поэтому пока Win32.Cabanas находится в разряде коллекционных вирусов.

Первым проанализировал этот вирус Игорь Данилов. Его программа Dr. Web умеет опознавать его, начиная с версии 3.26 от 28 октября 1997 г.

Надо отметить, что вирус Win32.Cabanas написан крайне изобретательно и интересно. Все существовавшие до сих пор вирусы, написанные для Windows 95, не умели корректно заражать файлы, предназначенные для работы в Windows NT. Этот вирус умеет не только заражать файлы в формате PortableExecutable, но оставаться резидентно в любой из перечисленных выше ОС.

Win32.Cabanas нельзя назвать полностью резидентным вирусом, поскольку перехват системных функций и установку вирусной копии он выполняет только на время текущего сеанса работы инфицированной программы. Но что произойдет, если пользователь запустит, например, зараженный Norton Commander for Windows 95 или Command Interpreter for Windows NT? Или программу, которая остается в памяти резидентно? Вместе с такой программой будет трудиться и Win32.Cabanas до тех пор, пока эта программа не будет завершена.

Почему вирус называется Win32.Cabanas? Win32 - потому, что данный вирус умеет жить под всеми 32-разрядными Windows, а Cabanas... Автор вируса Jacky Qwerty объясняет это следующим образом: Dedicated to Gonzalo Cabanas, shot dead on Feb/28/1995.

Еще один интересный вирус - Zombie.1922. Этот вирус является продуктом жизнедеятельности вируса Win95.Zombie, но в дальнейшем он может жить собственной полноценной жизнью.

Сам вирус Win95.Zombie не выполняет никаких деструктивных функций, он заражает EXE-файлы в формате PortableExecutable. В корневых каталогах логических дисков вирус создает файлы ZSetUP.EXE с атрибутами: архивный и системный. В этот файл вирус Win95.Zombie записывает код вируса Zombie.1922. При запуске файла ZSetUP.EXE вирусный код получает управление и пытается выяснить сможет ли он (вирус) открыть на запись RAM Shadow - теневую память. При некоторых условиях вирус открывает RAM Shadow и записывает свой код, после чего RAM Shadow закрывается - запись в нее становится невозможной. Вирус Zombie.1922 является единственным известным вирусом, который манипулирует с теневой памятью.

В дальнейшем вирус заражает все запускаемые или открываемые на чтение или запись EXE-файлы. При чтении секторов, содержащих элементы каталогов или файлов, вирус производит поиск последовательности байтов: ADINF, AIDS, AVP, WEB, DRWEB, , CPP, C, S-ICE, TD, DEBUG, WEB70801, CA. В случае нахождения таковых вирус устанавливает признак удаленного файла и забивает дальнейшее имя нулями. Таким образом, при активном вирусе ОС даже не будет подозревать о наличии этих файлов на диске. Вирусные обработчики INT 13h и INT 21h при получении управления открывают RAM Shadow, производят свои действия и обратно закрывают RAM Shadow. Без соответствующих манипуляций с теневой памятью удалить или обезвредить вирусный код в памяти не предоставляется возможным. При обнаружении этого вируса в памяти следует произвести лечение системы, загрузившись с дискеты с чистой ОС.

Следует отметить, что вирусу Zombie.1922, видимо, удастся открыть RAM Shadow на большинстве современных материнских плат, имеющих процессор Pentium.

Отредактировал(а) trojan.WinLock в 2011-10-10 22:39:53

Отправить сообщеньку

       [1]       

Быстрый переход: