DAXA-vírusok
VirusHunter figyelmeztet PC felhasználókat a vírus terjedését fájl Win32.HLLP.HiDrag (aka Win32.Hidrag.a. Jeefo.A), feltűnő a Win32-programot, és képernyővédők.
Részletes leírás Win32.HLLP.HiDrag vírus.
1. forrásai a kocsiba.
A fő forrása a vírus terjedésének, mint mindig, a fájl-cserélő hálózatot. A vírus adja meg a könyvtár a gép fájlmegosztó programok, mint a leple alatt a „hasznos” programokat, vagy csak a fertőzött szoftver disztribúció szoftver, elküldte a barátok vagy ismerősök. Sajnos, a legtöbb ember nehéz figyelmen kívül hagyni az anti-vírus szoftver, vagy egyszerűen nem frissíti a vírus adatbázist, ami a „felébreszteni” a vírus bejutását autóikat. Ennek eredményeként a fertőzött számítógépek váltak tenyésztési okok vírusok tíz vagy akár több száz más számítógépek. Potenciális veszélyt is lehet CD / DVD-lemezeket a „tiszta” járművek, mint a egyértelmű, hogy közülük rögzített (ROM) és a fájlokat fertőzött. Nem kizárt lehetőség is, hogy a vírust abban az esetben, használja az átadás / tároló flash meghajtó (USB flash memória tárolás), vagy floppy lemezre.
2. A rendszer telepítése.
Win32.HLLP.HiDrag a Windows-rezidens program (úgynevezett PE EXE-fájlt, amely tartalmazza a fejlécében label „PE”, ide tartoznak a program 32 bites kódot írt magas szintű nyelvek, mint például a C ++ Builder, Borland Turbo Pascal (Delphi) és így tovább. okozott működik Windows környezetben). Azt kapacitás alapján minden operációs rendszerrel a ma elérhető a Windows.
Win32.HLLP.HiDrag programkód védett kripta-kód, amely áll az elején a vírus segítségével egy speciálisan beépített eljárás dekódolást a memória a gép anélkül, hogy bármilyen ideiglenes fájlokat.
Vázlatos szerkezete a vírus kódját a következő:
Mint látható a programban, Win32.HLLP.HiDrag test két részből áll - az alap kód és a kiegészítő rész, amelyben a vírus képes tárolni a szolgáltatási információt. segédhajtómű mérete körülbelül 3% a teljes mérete a virális test.
Win32.HLLP.HiDrag lehet telepíteni magát a rendszerbe két módon, attól függően, hogy melyik fájl leadta 1. Start egy tiszta autó - az a tény, mely csak az eredeti vírus program, vagy fertőzött.
Amikor egy fertőzött fájlt, a vírus határozza meg a feltételeket a funkció% Windir% könyvtárba, ahol telepítette a Windows operációs rendszer (általában C: \ WINDOWS, így a továbbiakban utalok, hogy a könyvtár), és bemásolja magát neki néven
Ez a fájl a következő tulajdonságokkal rendelkezik:
svchost.exe fájlt a memóriában, amíg a végén a Windows-t. Ahhoz, hogy aktiválja ezt a fájlt a rendszer minden egyes indításakor a vírus létrehoz egy gombot az úgynevezett „PowerManager” a rendszerleíró adatbázisban nyilvántartások:
Ha egy tiszta gép 1. dob előállított vírus fájlból, amely csak a vírus kódját (azaz egy azonos svchost.exe fájlt. De például néven zastavka.scr vagy bármely másik.), A Win32 telepítés. HLLP.HiDrag az alábbiak szerint végezzük: a vírus beolvassa a nevét egy futó vírus fájlt, és létrehozza a rendszerleíró kulcs regiszter „néven PowerManager” a következők:
ahol a% path% - helyét egy futó vírus fájlt és name.ext - a nevét. Így a szerepe svchost.exe futó komponens végzi egy felhasználói fájlt az eredeti vírus program. Ugyanakkor a rendszer könyvtár svchost.exe fájlt hoz létre. Ha a jövőben fog futni minden a fertőzött fájlokat, svchost.exe jön létre a rendszerben könyvtárba, de a vírus nem fűzi a registry kulcsot és egy további aktív marad a fenti fájlt.
3. A fertőzött fájlokat.
A telepítés után a rendszer várja a vírus néhány perc alatt minden olyan művelet, hogy elrejtse jelenlétét a rendszerben, és minden látható tevékenység. Aztán elkezdi keresni és fertőzni PE EXE- (programok) és SCR- (képernyővédők) fájlokat. Ez a folyamat az alábbiak szerint történik: először a vírus megkeresi 6 ilyen fájlformátumok a gyökérkönyvtárban a rendszer, azaz a
Ezután állítsa le a keresést és megfertőzni a fájlokat a folyamat vár 5-10 perc, és megfertőzi 6 további fájlokat, majd vár egy meghatározott ideig újra és újra az eljárást.
Azonnal meg kell jegyezni, hogy a vírus úgy dönt, hogy fertőz csak azokat a fájlokat, amelyek nagyobbak, mint körülbelül 110 KB, és a többi ne érintse. Mielőtt megfertőzni minden fájl, hogy elrejtse jelenlétét a rendszerben, a vírus beolvassa a (file) attribútumok, dátum és idő a módosítás, megfertőz egy fájlt, majd hozzárendeli az eredeti adatokat vissza. Ennek eredményeként, a rendszer nem rögzíti az adatokat a fertőzött fájlokat változott, ami megnehezíti vizuális keresés az utóbbi.
Amikor a gyökérkönyvtárban C: \ WINDOWS összes érintett fájlok fertőzött, a vírus megy, hogy megfertőzi a fenti séma az alábbi alkönyvtárakat rendszer könyvtárba:
a Windows 9X / ME:
C: \ WINDOWS \ SYSTEM \
Windows 2K / XP:
C: \ Windows \ System32 \
beleértve a fájlokat összes alkönyvtárban az adatok könyvtárban. Később, a vírus belép a fertőzött fájlok összes alkönyvtárban rendszer könyvtár
Ami a fertőzés egyéb fájlok más mappákban raspololozhennyh rendszer hajt, valamint mások. Logikai meghajtók autók, köztük a hálózatot, nyitva áll a teljes vagy részleges hozzáférést előfordul, attól függően, hogy egyes belső számlálók a vírust. Emiatt a fájlok ezeken a lemezeken sokáig maradhat tiszta.
Ha keres új fájlokat fertőz a vírus ellenőrzi a jelenlétét a kód: hasonlítja alapkód a telepített fájlt az eredeti fájl tartalmát, a „sértett” a rendszer, úgy, hogy minden fertőzött fájl csak egy példányát a vírust. Amikor fut a fertőzött fájlt, a vírus először kezeli azt, majd végrehajtja azt (ez a részlet fogja mondani a továbbiakban).
4. Az elv megfertőzni a fájlokat.
Míg megfertőzni a fájlokat a vírus megkerüli a tulajdonság „csak olvasható” ( „read only”), és használ egy meglehetősen összetett algoritmus írni a kódot fájlokat. Ebben az esetben alkalmazza a módszert abban az időben a régi fájl vírusokat HLLP-család (High Level Language Program): felülírja talált EXE- vagy SCR-fájl a saját kódját, amely hozzáfűzi, hogy a végén a kód az eredeti program. Azonban a vírus nem csak rögzíti a test előtt az eredeti programkód és helyreállítja a legújabb, változó, hogy a sorrendben a logikai szakaszok és titkosítása a címe, az első és egyik központi részén. Vázlatosan ez így néz ki:
I kiegészítő rész, ahelyett, hogy a Microsoft hamis digitális aláírás, a vírus írja a szolgáltatás adatokat tartalmazó információt az eredeti helyét peretusovannyh szakaszok az eredeti program, valamint a mutató az utolsó olyan szakaszok, amelyek titkosítva. Az adatok szerepelnek a további rész a vírus titkosítja.
Meg kell jegyezni, hogy az eljárás a rekonstrukció az eredeti fájlt, majd titkosított részlegei végre professzionális módon, ahol a mérete az eredeti program nem változott a fertőzés után, és a teljes fájl mérete növekszik simán 36352 bájt (azaz csak a vírus testmérete ).
Amikor egy fertőzött fájl egy példányát a vírus benne tárolt, ellenőrizze, hogy a vírus telepítve van a rendszerben, majd végzett a következő dolgokat:
- Management alá kerül a fájlmásolás a vírus, amely utal a WINDOWS \ svchost.exe fájlt, és teszi őt egy különleges szubrutint, ami után a fertőzött fájl lezárása;
- kapott egy hívást a másolatot a fertőzött fájlt, a vírus svchost.exe (további „Virus”) elolvassa a (fertőzött fájl) helyét, és tárolja az adatokat a memóriába, mint egy változó A;
- adatai szerint változtatható A vírus a fertőzött fájlt, dekódolja és olvas belőle a kódrészletet, amely tartalmazza az eredeti rendszer helyreállítási programok fertőzés után, és tárolja az adatokat a memóriába, mint egy B változó;
- További jellemzői a vírus beolvassa a fertőzött fájl (annak tulajdonságait, dátum és idő módosítás), és tárolja az adatokat a memóriába, mint egy változó C;
- A vírus akkor törli a másolási a mi fertőzött fájlt, valamint blokkolja a rendszer azt (fájl) átalakít, akkor vezérli az adatok a B változó, dekódolja bitsorkódolják blokkok fertőzött fájlt, majd átrendezi az összes fájl blokkolja az eredeti nézetre, amit (file ) volt a fertőzés előtt;
- és az utolsó, ami a vírus - van rendelve a fájl jellemzőinek megfelelő, amely beolvassa a változó C, távolítsa el a memóriaváltozók A, B, C, és mentse el újra a fájlt, majd végrehajtja azt.
Egy ilyen kezelési módszer a vírus a vírus, az egészen eredeti, még a gyengébb gépeken is késedelmet okozhat, amikor elkezdi az eredeti programot a fertőzött fájlt, maximum egy-két másodpercig. Azonban van egy hátránya: ha egy fertőzött fájlt a média, amely nem stream bejegyzés (például CD-meghajtók vagy USB flash meghajtó / floppy lemezt a jumper, váltson át a „write lock”), az eredeti program nem fog futni. ez is csak akkor indítható el, és ha a fertőzött fájl indított a hálót Win32.HLLP.HiDrag autó, de a WINDOWS könyvtárba, amely már jelen aktin programot bárki más. egy vírus vagy trójai nevű svchost.exe.
5. Egyéb.
A kód a vírus a következő kódolt szöveg:
Hidden Dragon virus. Született egy trópusi mocsárban.
Kezeli az energiatakarékos funkciók a számítógépet.
Az első neve - „Hidrag” - töredékek vírus vett első szöveg - „Hi dden Húzza a” második - „Jeefo” - a kódrészlet, ugyanazt a szöveget titkosított formában, amely véletlenszerűen jelenik meg a szervezetben a vírus, mint a „I jeefo!”.
6. kimutatása a vírus és a kezelés gépek.
Abban az időben ez a leírás, anti-vírus szoftver a vírusokat az alábbi nevezéktan:
Antivirus Kaspersky AntiVirus: Virus.Win32.Hidrag.a (fertőtleníti a fertőzött fájlokat)
Antivirus BitDefender Professional: Win32.Jeefo.A (fertőtleníti a fertőzött fájlokat)
Antivirus DrWeb: Win32.HLLP.Jeefo.36352 (fertőtleníti a fertőzött fájlokat)
Meg kell jegyezni, hogy a példányszám a vírus jelen lehet kiterjesztésű fájlokat „CHK” (az utóbbi a fájlokat, redundáns egyes Windows-verziók olyan esetekben, amikor a rossz klaszterek a rendszer alkalmazása Scandisk HDD).
Mivel a folyamat végrehajtása a kezelés a vírus nehéz lesz az egyszerű felhasználó számára, mert a kezelési eljárás alatt az aktív Windows vírus menet megfertőzni már fertőtlenített fájlokat (nem is beszélve, hogy a nagyon víruskereső lehet fertőzött), a legjobb megoldás vírusos probléma, véleményem szerint, az, hogy mozog a merevlemezt, hogy mások. fertőzött gép, kapcsolat hozzá, mint másodlagos, majd prolechivaniem teljes információ található rajta. A kezelési folyamat svchost.exe fájlt, a vírus el kell távolítani (valamint más típusú fájlokat az aktív példányt a vírus, ha van ilyen).
7. A „szörnyű” vírus.
Városunkban, Chernivtsi, továbbá a tömeges forgalmazás Win32.HLLP.HiDrag legalább masszívan kezdett terjedni pletykák a szörnyű dolog, hogy állítólag uchinyaet a vírus a fertőzött gépen. Pletykák támogatta az vitathatatlan tény, hogy a legtöbb „töltse ki” a vírus motor valóban megállapították Win32.HLLP.HiDrag.
Tekintettel arra a tényre, hogy a fájl fertőzés eljárást végzik professzionális módon, ezáltal megszüntetve a károsodásának valószínűségét az utóbbi közben megfertőzheti őket, valamint a hiányában romboló eljárások a kódot a vírus, én több kutatás több fájlt elvesztette munkaképességét, ami példányban találtak Win32.HLLP.HiDrag. Mint kiderült, a fájlok elvesztették munkaképesség, mint egy fertőzés eredményeként számos vírus ugyanabban az időben. Különösen a fertőzött gépen ilyen bizonyult Win32.Parasite (aka Win32.Parite.b. Parite.2). A helyzet a következő: a fertőzött fájl Win32.HLLP.HiDrag nyilvántartások annak elején, aztán peretusovyvaet részén és néhány közülük titkosítja, miközben a szervezetben a megfelelő információkat a változások az eredeti kódot. Az viszont, Win32.Parasite hozzáfűzi a testét, hogy a végén a fertőzött fájlt, és azt állítja az utolsó cím (amely ezen a ponton már pont ott írnak vírus Win32.HLLP.HiDrag). Mit gondol - akár Win32.HLLP.HiDrag megfelelően felújított, és hozta vissza az eredeti nézetet a fertőzött fájl lesz, ha (a fájl) farokrész megjelent idegen kódot, amely a legjobb vírus vonatkozó adatok a rajtuk végrehajtott módosításokat az eredeti programkód ez nem mond semmit? Nyilvánvalóan nem. Sőt, amikor futtatja ezt Win32.HLLP.HiDrag fájlt, amikor megpróbálja újra az eredeti fájl visszavonhatatlanul tönkre (by the way, nem csak őt, hanem Win32.Parasite vírus kódját). Anti-vírus szoftver sem képes gyógyítani, mint a „rendetlenség”.
Így az igazi oka a hibás működés fájlt „kivágása” a rendszer és a veszteség a szükséges programokat és batch fájlt a valóság, bár úgy hangzik, paradox, a felhasználó, aki naivan, vagy bármely más okból, az idő nem gyógyítja a számítógépet az elektronikus " csótányok ".