Virové novinky

Ve virovém světě se objevily nové přírůstky. Nová varianta viru Win32.CTX, viry Win32.Santana a Linux.Diesel. Pojďme se na ně podívat.
Ve virovém světě se objevily nové přírůstky. Nová varianta viru Win32.CTX, viry Win32.Santana a Linux.Diesel. Pojďme se na ně podívat.

Win32.CTX.10853 aka Dengue
Další novinka od známého tvůrce virů ze skupiny 29A, který si říká GriYo. Jedná se o novou variantu známého viru, který jako první použil interní funkce Windows 2000. Zatímco varianta Win32.CTX.6886 byla nerezidentní a infikovala soubory pouze při spuštění, tento virus se umí usadit v adresovém prostoru programu EXPLORER.EXE (který se na 99,99 % počítačů spouští při startu Windows) a odtud se snaží infikovat programy (s příponami .EXE, .SCR a .CPL) na všech dostupných discích. Neinfikuje programy s maskou DR*, PA*, RO*, VI*, AV*, TO*, CA*, IN*, MS*, SR*, SP*, RP*, PR*, NO*, CE*, LE*, MO*, SM*, DD*, SO*, SQ*, EX*, IE*, CM* a CO*. Takto začínají jména antivirových programů. Také se snaží mazat některé soubory jimi používané.

Po dekódování viru lze vidět řetězec:

[ Dengue Hemorrhagic Fever BioCoded by GriYo / 29A ]

Disclaimer: This software has been designed for research purposes only. The author is not responsible for any problems caused due to improper or illegal usage of it.

Virus používá známou metodu infikace .EXE souborů, přesto mají některé antiviry problémy s detekcí a odstraňováním. Obyčejně se připojuje na konec souboru, pokud tam ovšem nalezne relokační tabulku (která je ve většině případů zbytečná), přepíše ji. Program dále upraví tak, aby při dalším spuštěním byl aktivován právě virus. Nedělá to ale standardním přepsáním vstupního bodu. Prohlídne si program, a náhodně v něm změní instrukce volání služeb Windows právě na svoje tělo. Proto je virus obtížně detekovatelný heuristickou analýzou. Předání řízení viru může nastat na začátku, uprostřed, ale i na konci provádění programu, a právě až tam se heuristika obvykle nedostane.

Program dále používá interní funkce Windows 2000 ke zjištění, zda právě program, který se chystá infikovat není chráněný operačním systémem. Takové programy radši neinfikuje.

Virus je silně polymorfní a je novou verzí polymorfních generátorů z virů Win32.Marburg a Win95.HPS.

K odstranění tohoto viru doporučuji použít například program AVP.

Win32.Santana
Opět rezidentní zakódovaný Win32 virus. Po spuštění infikovaného programu dostane řízení jako první virus. Ten se rozkóduje, zjistí si důležité adresy služeb Windows a typ operačního systému. Pod Windows NT se snaží napadnout všechny soubory v aktuálním adresáři, pak předá řízení programu.

Pod Windows 95/98 se chová odlišněji. Pokusí se najít prázdnou oblast v paměti určené pro VxD ovladače. Pokud ji nenajde, bude se chovat stejně jako pod Windows NT. V opačném případě se do nalezené oblasti zkopíruje, přepne se do režimu jádra, odchytí si volání služby pro změnu aktuálního adresáře a zůstane v paměti jako součást Windows. Pokud se jakýkoliv program přepne do jiného adresáře, virus v něm napadne všechny spustitelné soubory.

Obsahuje text: Virus "SANTANA" created by Net'$ Wa$te [RespawneD EViL]

Odstranit tento virus můžete použít taktéž program AVP.

Linux.Diesel
Nový virus pro Linux. Svým chováním patří mezi průměrné viry. Připomíná začátky DOS virů z roku 1990.

Není rezidentní, pouze se při své aktivaci snaží najít spustitelné soubory v systémových adresářích (je tedy omezen na rootovi, který by případně virus spustil) a vložit se do nich. Svůj kód vkládá doprostřed programu a původní kód přesune na konec souboru. Po aktivaci obnoví program a předá mu řízení.

Virus obsahuje viditelný text:

/ home root sbin bin opt

[ Diesel : Oil, Heavy Petroleum Fraction Used In Diesel Engines ]

Na závěr bych dodal, že tento virus se ve světě nešíří, a proto není nutné stahovat si nějaký antivirový program. Pokud si jenom trošku dáváte pozor a stáhnuté programy nespouštíte s právy roota, není nutné se čehokoliv obávat.

Diskuze (7) Další článek: Perličky od SGI

Témata článku: Windows, Linux, Novi, Spustitelný soubor, Novinky, Dengue, Heavy, Virus, Diesel, Marburg


Určitě si přečtěte

Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

** Reddit se začíná plnit zkušenostmi se Starlinkem ** Při přímé viditelnosti dá i 120 Mb/s ** Klasický satelitní internet už teď dalece překonává

Jakub Čížek | 48

Jakub Čížek
StarlinkPoskytovatelé internetu
Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

** Kvalita GPS ve městech občas stojí za starou bačkoru ** Mohou za to odrazy signálu od okolních budov ** Google má jejich 3D model, a tak spolupracuje s výrobci GPS čipů

Jakub Čížek | 40

Jakub Čížek
NavigaceTechnologieGoogle
Vodafonu se zhroutila kabelovka. Síť bývalého UPC má výpadky
Lukáš Václavík
VodafoneUPC
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 44

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

** Z WhatsAppu kvůli novým podmínkám utíkají tisíce uživatelů ** Čím nahradit populární aplikaci pro zasílání zpráv? ** Vybrali jsme pro vás 10 alternativních komunikátorů

Karel Kilián | 110

Karel Kilián
KomunikaceWhatsAppInstant Messaging
Air Bank, Fio banka a MONETA zakládají alianci pro bankovní identitu
Jakub Čížek
BankaČeskoeGovernment

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5