Эра полиморфиков для 32-разрядных платформ началась!

ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Эра полиморфиков для 32-разрядных платформ началась!

Hе успели еще стихнуть страсти по первому резидентному вирусу для 32-разрядных платформ Windows, написанных испанским вирусописателем именующим себя Jacky Qwerty, из группы 29A, как его "партийный соратник по борьбе" - некий GriYo создает и выпускает в свет два новых резидентных полиморфных вируса: Win95.HPS и Win95.Marburg. Причем, Win95.Marburg является на сегодняшний день первым "полноценным" полиморфиком для операционной среды Windows 95. Итак, эра полиморфиков для 32-разрядных операционных систем началась! "Что день грядущий нам готовит?..". Хочу заметить, что группа 29A "выпустила" данные вирусы в "дикую природу". Я получил уже их экземпляры от западных пользователей. Программа Dr.Web версии 4.01 умеет детектировать и обезвреживать данные вирусы. Ждите выхода этой версии.

И. Данилов

Win95.HPS
Hеопасный резидентный полиморфный вирус. Заражает *.EXE и *.SCR файлы в формате PE. При старте вирус расшифровывает свой код и пытается определить базовый адрес модуля KERNEL32.DLL. Далее с помощью недокументированных приемов вирус определяет адрес функции VxDCall и проверяет наличие своей копии в памяти. Если код вируса в памяти не обнаружен, то с помощью найденного адреса VxDCall посредством функцийVMM: PageReserve и PageCommit вирус выделяет себе блок памяти, в который копирует собственный код. Затем вирус "перехватывает" вызов функции VWIN32_Int21h_ Dispatcher и устанавливает для него собственный обработчик. Данный вирусный обработчик возвращает ответ "я здесь" на запрос о наличии собственной копии в памяти, а также при открытии PE-файлов вызывает процедуру их заражения. При вызове функций FindFirst и FindNext вирус "скрывает" приращение длин инфицированных файлов. В субботу при открытии файлов графических изображений в формате BMP вирус переворачивает их изображение.

При своей установке в память вирус генерирует свою полиморфную копию, которой в дальнейшем будут заражаться все файлы в текущем сеансе работы. Такой вирус называется "медленным полиморфиком" (slow polymorphic).

При заражении файлов вирус записывает себя в область последней кодовой секции, изменяя ее характеристики и точку входа в исполняемый модуль.

Вирус удаляет файлы ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. Имеет в своем коде антиотладочные механизмы, базирующиеся на установке отладчиками обработчиков исключительных ситуаций (SEH). Содержит текст:

< Hantavirus Pulmonary Syndrome (HPS) Virus BioCoded by GriYo / 29A >

Win95.Marburg
Hеопасный полиморфный вирус. Является резидентным для текущего сеанса работы инфицированной программы. Данный вирус по алгоритмам работы очень похож на вирус Win32.Cabanas. Win95.Marburg также заражает *.EXE и *.SCR файлы в \WINDOWS, \WINDOWS\SYSTEM и в текущем каталоге. Также при заражении файлов не изменяет точку входа в исполняемый модуль, а внедряет в ее начало команду перехода на основной вирусный код, который записывается в область последней кодовой секции. И Win95.Marburg также "перехватывает" некоторые функции Windows API, находящиеся в import table, и устанавливает свой код резидентно в память на сеанс работы инфицированной программы.

Но следует отметить, что Win95.Marburg является первым известным "полноценным" полиморфным вирусом для среды Windows 95. Win95.Marburg - это "медленный полиморфик". В текущем сеансе работы вирус заражает файлы своей одной сгенерированной полиморфной копией.

В некоторые моменты времени вирус может вывести в случайные места главного окна Windows 95 (desktop) иконки "ошибки" (красный круг с белым крестом посередине).

Win95.Marburg удаляет файлы ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Содержит текст "[ Marburg ViRuS BioCoded by GriYo/29A ]".

КОМПЬЮТЕР-ИНФОРМ