Семейство Apparition

date image 2015-06-10
views image 411
Поделись с друзьями: 
25262728293031

Опасные резидентные файловые вирусы.

Apparition.254, 700

Копируют себя в видеопамять по адресу ВАООЮООО (это может привести к краху системы), перехватывают INT 21h и записываются в конец СОМ-файлов при их запуске.

Apparition.254 зашифрован. Apparition.700 перехватывает также INT 10h и запрещает смену видеорежимов (функцию INT 10h, АН-0). При переходе в подкаталог вирус ищет СОМ-файлы и записывается в них так же, как и при их запуске. Содержит строку:

THE APPARITION Apparition. 1248

Опасный резидентный вирус. Перехватывает INT ICh, 21h и записывается в конец запускаемых СОМ-файлов. При смене текущего каталога ищет СОМ-файлы и заражает их. Запускает системные часы на обратный ход: при каждом вызове INT ICh уменьшает системный счетчик времени. Включает ошибки и при некоторых условиях завешивает систему. Содержит строки:

The Apparition virus, written by ********************************. It's a second version of *****************************. THE APPARITION

Apparition.7035

Опасный резидентный полиморфик-вирус. Зашифрован как в файлах, так и в системной памяти. Активно использует 386-е инструкции и работает только на процессорах 386 и выше. Использует большое количество антиотладочных приемов, часть которых основана на особенностях процессора i386.

При запуске зараженного файла вирус расшифровывает свой код несколькими полиморфик-циклами и инсталлирует себя в системную память. Для противодействия отладчикам вирус временно перехватывает INT 1, 6, ODh, 34h и выполняет несколько довольно сложных антиотладочных процедур. Вирус также ищет в памяти какую-либо программу (резидентный антивирус?) и правит ее код.

Затем вирус освобождает перехваченные прерывания, выделяет себе блок памяти, копирует туда свой TSR-код, перехватывает INT 6, 9, 10h, ICh, 21h, 2Fh, 77h и остается резидентно в памяти. Перед тем как возвратить управление программе-носителю, вирус ищет СОМ- и ЕХЕ-файлы и заражает их.

Вирус перехватывает INT 10h, но никак его не использует. INT 77h перехватывается только для определения своей TSR-копии и предотвращения повторного заражения памяти. Перехват INT 2Fh используется для детектирования вызова MS-Windows AX"-1605hi в этом случае вирус удаляет себя из памяти.

Перехватывает несколько функций INT 21h. При вызове Keep (AH=31h) вирус присоединяет свой код к программе, которая остается резидентной. При вызове Execute (AX=4BOOh) вирус заражает запускаемый файл. При вызове ChangeDir вирус ищет СОМ- и ЕХЕ-файлы и заражает их.

При запуске файла LOGIN.EXE вирус активизирует свою процедуру взлома паролей: запоминает символы, вводимые с клавиатуры (для этого вирус перехватывает INT 9). Затем вирус сохраняет их в файле C:\RUSSIAN.FNT по окончании работы LOGIN.EXE (INT 21h, AH=4Ch).

Вирус записывает себя в СОМ- и ЕХЕ-файлы длиной меньше 55 Кб. Не заражает файлы: COMMAND.COM, "HIEW.EXE и •ЕВ.ЕХЕ. При заражении ЕХЕ-файлов конвертирует их в формат СОМ.

При заражении файлов вирус ищет в их коде заголовки C/Pascal-подпрограмм

55 PUSH BP 8В ЕС MOV BP.SP

и записывает вместо этого кода байты FFFFh. Если такая процедура получает управление, процессор генерирует INT 6 (Unknown Opcode), управление перехватывается обработчиком INT 6 в вирусе, который восстанавливает этот код и возвращает управление прерванной процедуре. В результате такие файлы практически невозможно вылечить, но они остаются работоспособными под зараженной системой, если не установлены memory managers типа QEMM. Если установлен QEMM или аналогичная утилита управления памятью, то вирус не получает управления по INT 6.

Для того чтобы защитить свой TSR-код от деактивации, вирус подсчитывает CRC-суммы своих трех основных процедур (заражение, INT 9 и INT 21h) и при каждом вызове INT ICh проверяет их. Для защиты кода своего обработчика INT ICh вирус хранит его резервную копию и при каждом вызове INT 9 сравнивает ее с оригиналом.

Под отладчиком или в том случае, если не сошлись CRC-суммы, вирус стирает CMOS, спикер компьютера пищит и система зависает.

При инсталляции вирус проверяет тип процессора и, если процессор ниже 386, выводит текст:

386 or later processor missing. Please replace processor, then press any key...

Также иногда сообщает:

Warning: Tnis file is infected by Apparition!

Также содержит строки:

Here I am, сап you see me Passing through, on my way To a place I'd been to only in my dreams...before *.COM *.EXE C:\RUSSIAN.FNT

THE APPARITION

THE APPARITION II

Multilayer Coder v 2.00. Jul'96

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

25262728293031

double arrow
Сейчас читают про:

article image
Типы организационных структур
article image
Амортизация и способы ее начисления
article image
Проблема универсалий в средневековой философии
article image
Основные фонды предприятия
article image
Типы экономических систем: рыночная экономика, традиционная экономика, административно-командная экономика, сме­шанная экономика
article image
500-летие Реформации
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Хорошими люди становятся больше от упражнения, чем от природы. © Демокрит ==> читать все изречения...
like icon 6381
like icon 6164
Понравился сайт? Поделись им с друзьями: