Ve virovém světě se objevily nové přírůstky. Nová varianta viru Win32.CTX, viry Win32.Santana a Linux.Diesel. Pojďme se na ně podívat.
Ve virovém světě se objevily nové přírůstky. Nová varianta viru Win32.CTX, viry Win32.Santana a Linux.Diesel. Pojďme se na ně podívat.
Win32.CTX.10853 aka Dengue
Další novinka od známého tvůrce virů ze skupiny 29A, který si říká GriYo. Jedná se o novou variantu známého viru, který jako první použil interní funkce Windows 2000. Zatímco varianta Win32.CTX.6886 byla nerezidentní a infikovala soubory pouze při spuštění, tento virus se umí usadit v adresovém prostoru programu EXPLORER.EXE (který se na 99,99 % počítačů spouští při startu Windows) a odtud se snaží infikovat programy (s příponami
.EXE, .SCR a .CPL) na všech dostupných discích. Neinfikuje programy s maskou
DR*, PA*, RO*, VI*, AV*, TO*, CA*, IN*, MS*, SR*, SP*, RP*, PR*, NO*, CE*, LE*, MO*, SM*, DD*, SO*, SQ*, EX*, IE*, CM* a CO*. Takto začínají jména antivirových programů. Také se snaží mazat některé soubory jimi používané.
Po dekódování viru lze vidět řetězec:
[ Dengue Hemorrhagic Fever BioCoded by GriYo / 29A ]
Disclaimer: This software has been designed for research purposes only. The author is not responsible for any problems caused due to improper or illegal usage of it.
Virus používá známou metodu infikace .EXE souborů, přesto mají některé antiviry problémy s detekcí a odstraňováním. Obyčejně se připojuje na konec souboru, pokud tam ovšem nalezne relokační tabulku (která je ve většině případů zbytečná), přepíše ji. Program dále upraví tak, aby při dalším spuštěním byl aktivován právě virus. Nedělá to ale standardním přepsáním vstupního bodu. Prohlídne si program, a náhodně v něm změní instrukce volání služeb Windows právě na svoje tělo. Proto je virus obtížně detekovatelný heuristickou analýzou. Předání řízení viru může nastat na začátku, uprostřed, ale i na konci provádění programu, a právě až tam se heuristika obvykle nedostane.
Program dále používá interní funkce Windows 2000 ke zjištění, zda právě program, který se chystá infikovat není chráněný operačním systémem. Takové programy radši neinfikuje.
Virus je silně polymorfní a je novou verzí polymorfních generátorů z virů Win32.Marburg a Win95.HPS.
K odstranění tohoto viru doporučuji použít například program AVP.
Win32.Santana
Opět rezidentní zakódovaný Win32 virus. Po spuštění infikovaného programu dostane řízení jako první virus. Ten se rozkóduje, zjistí si důležité adresy služeb Windows a typ operačního systému. Pod Windows NT se snaží napadnout všechny soubory v aktuálním adresáři, pak předá řízení programu.
Pod Windows 95/98 se chová odlišněji. Pokusí se najít prázdnou oblast v paměti určené pro VxD ovladače. Pokud ji nenajde, bude se chovat stejně jako pod Windows NT. V opačném případě se do nalezené oblasti zkopíruje, přepne se do režimu jádra, odchytí si volání služby pro změnu aktuálního adresáře a zůstane v paměti jako součást Windows. Pokud se jakýkoliv program přepne do jiného adresáře, virus v něm napadne všechny spustitelné soubory.
Obsahuje text: Virus "SANTANA" created by Net'$ Wa$te [RespawneD EViL]
Odstranit tento virus můžete použít taktéž program AVP.
Linux.Diesel
Nový virus pro Linux. Svým chováním patří mezi průměrné viry. Připomíná začátky DOS virů z roku 1990.
Není rezidentní, pouze se při své aktivaci snaží najít spustitelné soubory v systémových adresářích (je tedy omezen na rootovi, který by případně virus spustil) a vložit se do nich. Svůj kód vkládá doprostřed programu a původní kód přesune na konec souboru. Po aktivaci obnoví program a předá mu řízení.
Virus obsahuje viditelný text:
/ home root sbin bin opt
[ Diesel : Oil, Heavy Petroleum Fraction Used In Diesel Engines ]
Na závěr bych dodal, že tento virus se ve světě nešíří, a proto není nutné stahovat si nějaký antivirový program. Pokud si jenom trošku dáváte pozor a stáhnuté programy nespouštíte s právy roota, není nutné se čehokoliv obávat.
