The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

:)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

_ RU.OS.CMP (2:5077/15.22) _________________________________________ RU.OS.CMP _
 From : john gladkih                        2:5020/1666     10 Oct 99  21:24:00 
 Subj : :)                                                                      
________________________________________________________________________________
From: john gladkih <john@gate.simcb.ru>

Hi!


РБК, 08.10.1999, Москва 17:05:05 

Обнаружен первый компьютерный вирус, внедряющийся на самый высокий уровень
                          безопасности Windows NT

"Лаборатория Касперского", сообщает об обнаружении первого в мире
компьютерного вируса, внедряющегося на самый высокий уровень безопасности
Windows NT - область системных драйверов. Эта особенность делает вирус
труднодоступным для лечения в памяти многими антивирусными программами.
Вирус был прислан 7 октября клиентами "Лаборатории Касперского",
жаловавшимися на странное поведение их компьютерных систем. Детальный
анализ подозрительных объектов подтвердил наличие в них нового вируса "Infis".
Технические подробности
Общая характеристика
"Infis" является резидентным файловым вирусом, который работоспособен только
под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6.
Вирус
не заражает системы под управлением Windows 9x, Windows 2000 и другие версии
Windows NT.
Симптомы заражения 
Основным симптомом заражения является невозможность запустить некоторые
программы. Hапример, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По
причине некорректного заражения вирус портит содержимое этих файлов. Другим
признаком присутствия вируса на компьютере является файл INF.SYS в каталоге
/WinNT/System32/Drivers. 
Инсталляция
При запуске зараженного файла вирус копирует из него свой код, записывает его в
виде отдельного файла INF.SYS в каталог драйверов Windows
\WinNT\System32\Drivers. Затем "Infis" создает в системном реестре ключ с тремя
секциями:
\Registry\Machine\System\CurrentControlSet\Services\inf
Type = 1 - стандартный драйвер WinNT
Start = 2 - режим старта драйвера
ErrorControl = 1 - игнорировать ошибки
В результате копия вируса в файле INF.SYS активизируется при каждом
перезапуске Windows NT. При активизации файла INF.SYS запускается процедура
заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и
перехватывает внутренние (недокументированные) функции этой операционной
системы. Вирусный перехватчик обрабатывает только открытие файлов, затем
проверяет их имена и внутренний формат и вызывает процедуру заражения. 
Заражение
Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE
(командный процессор Windows NT). При заражении вирус увеличивает размер
файла на длину своего "чистого кода" - 4608 байт. "Infis" избегает повторного
заражения файлов, распознавая их по записанному ранее в поле "дата и время"
значению -1 (FFFFFFFFh). 
Проявление
"Infis" не оказывает никакого разрушительного воздействия на зараженные
компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за
которых вирус портит некоторые файлы при попытке внедрения в них. При запуске
испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в
приложении. 


-- 
John, http://www.t.uz, mailto:john@kak-sam.to
--- tin/pre-1.4-19990517 ("Psychonaut") (UNIX) (SunOS/5.7 (i86pc))
 * Origin: Gates to Hell (2:5020/1666@fidonet)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру