Комп'ютерні віруси

Коваленка Михайле Сергійовичу «Комп'ютерні віруси й боротьби з ними «(реферат).

1 ____________________________________________________________________________.

__________________________________ 31.03.02.

Приложение 1.

[1] Time, семейство.

Резидентные безпечні віруси. Перехоплюють INT 1Ch, 21h і записуються насамкінець що запускаються .EXE-файлов. Приблизно разів на годину пищать кілька разів спікером компьютера.

[2] Havoc (Stealth_Boot), семейство.

Завантажувальні стелсвіруси. При завантаженні з враженого флоппи записуються в MBR вінчестера. Потім перехоплюють INT 13h і нині вражають флоппи-диски під час читання з нього. Зараження дискет іде за рахунок алгоритму «Brain » .

Залежно від системного таймера «Havoc.a, b, Innocent «стирають сектора дисків. «Havoc.Amse «безневинний, неможливо проявляється. «Havoc.Alfredo «розшифровує і виводить його за принтер: LIMA — PERU (з) Laboratorio Luz de Luna ANGEL X TE SALUDA.

[3] Brain, сімейство Вона складається з двох практично які збігаються безневинних вірусів: «Brain-Ashar «і «Brain-Singapore ». Вони заражають завантажувальні сектора дискет при зверненні до ним (INT 13h, AH=02h). Продовження вірусу і початковий завантажувальний сектор розміщуються в секторах, які належать вільним кластерам диска. Під час пошуку цих кластерів вірусам доводиться аналізувати таблицю розміщення файлів (FAT). У FAT ці кластери позначаються як збійні (так звані «псевдосбойные «кластери). У зараженого диска встановлюється нова мітка «(З) Brain ». Віруси використовують «стелс «-механізм: під час спроби перегляду завантажувального сектора зараженого диска вони «підставляють «істинний сектор.

[4] Vienna, сімейство Нерезидентные віруси. Після запуску шукають .COM-файлы і записується у тому кінець. Шукають файли поточному каталозі і залежно від версії вірусу в кореневому каталозі, або у каталогах, відзначених системної перемінної PATH. Зараження відбувається за запуску інфікованої програми, у своїй заражається трохи більше одного файла. Багато віруси сімейства під час спроби зараження перевіряють у файла значення секунд (чи місяця залежно від версії вірусу) останньої модифікації файла. Якщо він одно 1Fh (62 секунди, відповідно 0Dh — 13-й місяць), то файл не заражається. Деякі представники сімейства залежно від таймера можуть «вбивати «файли, записуючи у тому початок 5 байтів або команди переходу на перезавантаження JMP F000: FFF0, або JMP C800:0005, JMP C800:0000 чи JMP C800:0006 в залежність від версії вируса.

[5] Cascade Дуже небезпечний. Іноді виводить повідомлення: IL SISTEMA До FOTTUTO! S.E.K. VIRUS made in ITALY RM 5iD G. Ferraris 90/91 (з) і стирає сектора дисків. Також знищує файл CHKLIST.CPS.

[6] Ping-Pong Не небезпечний. Перехоплює INT 8, 13h. Має байт, у якому номер версії вірусу. Якщо виявляє диск, заражений своєї попередньої версією, то «оновлює «її. Викликає відеоефект скачущего кульки (знак 07h ASCII), який переміщається екраном, позначаючись від знаків і національних кордонів экрана.

[7] VirDem, сімейство (см. приложение 2, рис.1) Небезпечні нерезидентные віруси, записуються на початок .COM-файлов поточного диска.

" Virdem.833 «рухає екраном зображення жука. «VirDem.1542 «заповнює екран кольорової абстрактної картинкою. «VirDem.1336.a «знімає Потебенька й не відновлює атрибути файла.

[8] GoodTimes — міф про комп’ютерному вірус На початку грудня 1994 мережами Internet і FIDO промайнуло повідомлення про нібито існуючому вірус, який заражає комп’ютер за допомогою електронної пошти — і при отриманні і читанні листів. Повідомлення виглядало наступним образом:

Here is some important information. Beware of a file called GoodTimes. Happy Chanukah everyone, and be careful out there. There is a virus on America Online being sent by E-Mail. If you get anything called «Good Times », DON «T read it or download it. It is a virus that will erase your hard drive. Forward this to all your friend. It may help them a lot.

Это повідомлення викликало справжню паніку серед користувачів Internet. Було зафіксовано навіть дещо повідомлень про справді заражених комп’ютерах — проте не всі такі повідомлення були «секонд-хенд », але ніхто у дійсності так ніколи й не зустрівся з цим монстром (у тій причини, що таке вірусу ніколи й не было).

Навесні 1995 з «GoodTimes «продовжилася ще однією повідомленням на ж тему — про вірус, распространяющем себе за всі Е-mail адресами, які є у ящиках Inbox і SentMail. Як і першому випадку, ніякого такого вірусу виявлено не было.

Тоді ж у черговому числі журналу вірусотворців «VLAD «з'явилися вихідні тексти вірусу, названого його автором «Good Times «(розробники антивірусів назвали цей вірус «GT-Spoof »). То справді був звичайний DOS-вирус, не мав найменшого стосунку до мереж і Internet.

[9] Vacsina, Yankee, сімейство Сімейство вірусів «VACSINA «(не «VACCINA » !) і «Yankee «налічує понад 40 файлових резидентных безпечних вірусів. Характерною ознакою вірусів даного сімейства і те, що вони відновлюють файли, заражені попередніми версіями вірусів сімейства, і далі інфікують їх знову. Заражають COMі EXE-файлы за її виконанні (віруси версій до 26h) чи завантаженні на згадку про (віруси версій 26h і від). Стандартно заражають COMфайли. З іншого боку, віруси «Vacsina «збільшують довжину заражаемого файла до параграфа. Починаючи з версії 2Ah до файлу після зараження дописують додаткові 4 байта. Віруси молодших версій (до 23h) інфікують EXE-файлы спеціальним чином: файли перетворюються на формат COM-файлов. І тому до файлу дописується невеличкий фрагмент вірусу (132 байта), настраивающий адреси за таблицею адрес за мінімального завантаження файла на згадку про до виконання, і змінюються перші три байта файла (JMP на фрагмент). Дописані до файлу 132 байта не поширюють вірусу. Їх дію лише в їх настроюванні адрес програми у її запуску. Оброблений в такий спосіб файл виконуватиметься операційній системою та заражатися багатьма вірусами як COM-файл. При запуску EXE-программы, котра міститься у цьому файлі, управління передається на фрагмент настройки адрес, який аналізує таблицю адрес в заголовку файла і відповідно коригує завантажену програму. Потім управління передається на стартовий адресу, вказаний у заголовку файла. Віруси перехоплюють вектор переривання 21h, і деякі представники сімейства «Yankee «- INT 1, 3, 9, 1Ch. Віруси викликають звукові ефекти: при зараження файла вірусом «VACSINA «лунає звуковий сигнал (BELL), віруси «Yankee «залежно від деяких умов (за одночасного натисканні клавіш Alt-Ctrl-Del або у 17.00) виконують мелодію «Yankee Doodle Dandy ». У певних умовах вірус «Vacsina.06 «розшифровує видає на екран рядок «Az sum vasta lelja. «Yankee.2189 Сімейство «Yankee ». Зашифрований, періодично «крутить «символи «/ «, «», «- «, «| «. Yankee.Estonia.1716 Сімейство «Yankee ». Резидентный небезпечний вірус. По понеділках в 14 годин розшифровує і виводить до центру екрана текст: «Independent Estonia presents », потім грає «Собачий вальс «і перезагружает компьютер.

[10] Aids (см. приложение 2, рис.2) Резидентный дуже небезпечний вірус. Перехоплює INT 3, 21h і записується в кінець EXE-файлов за її закритті. У середньому кожен 16-ї закрываемый COM-файл записує частину свого коду (файл не відновлюється, оскільки вірус не зберігає старе вміст файла). Після запуску такого файла не екран великими літерами видається слово «AIDS » .

[11] Peterburg Бехобидный резидентный вірус. Перехоплює INT 21h і записується на початок .COM-файлов за її запуску. Ніяк не проявляется.

[12] Voronezh, семейство.

Voronezh.370,600.

Резидентные віруси, безневинні. Частина вірусу «Voronezh.600 «(50 байт) зашифровано (XOR DDh). Перехоплюють INT 21h і записуються на початок. COMфайлів за мінімального завантаження в пам’ять до виконання, «Voronezh.370 «не заражає COMMAND.COM. При введення у файл переписують його початок насамкінець файла, а свою копію поміщають на звільнилося на початку. У цьому переписываемая частина файла шифрується (XOR BBh).

Ніяк не виявляються не мають деструктивних функцій. «Voronezh.600 «містить зашифрований (XOR 1Ah) текст «Oleynikoz P. S., 1990 ». Певне, проба пера початківця програміста, оскільки неозброєним оком помітно досить слабке знання можливостей мови ассемблера.

Voronezh.650.

Резидентный безпечний вірус. Перехоплює INT 21h й уражає що їх COM-файлы за алгоритмом вірусу «Voronezh.600 ». Після запуску файлів (приблизно 1 разів замірялися вбити 60 запусків) сообщает:

Video mode 80×25 not supported.

Voronezh.1600.

Резидентный небезпечний вірус. Перехоплює INT 21h й уражає файли за її виконанні чи відкритті. COM-файлы заражаються за схемою вірусу «Voronezh.600 ». EXE-файлы инфицируются по складного алгоритму: вони змінюється п’ять байт точки входу у програмі на код команди CALL FAR Loc_Virus, у своїй зміна адреси точки входу в заголовку файла не потрібно. Вірус коригує таблицю настройки адрес (ТНА): додає в неї один елемент, відповідний команді CALL FAR Loc_Virus; необхідним чином змінює один елемент ТНА, який би на змінені 5 байт (якщо такий елемент існує). Потім вірус дописує до файлу свою копию.

Вірус містить помилки: аналізуються трохи більше 640 елементів ТНА; не аналізується випадок, коли модифицируемый елемент ТНА свідчить про п’ятий байт від точки входу (тобто. слово, яке налаштовується за мінімального завантаження файла, лежить на жіночих кордоні змінюваних 5 байт). Після запуску такого файла можливо зависання компьютера.

[13] LoveChild, сімейство Дуже небезпечні резидентные віруси. Перехоплюють INT 21h і записується в кінець COM-файлов.

LoveChild.488.

При створенні своєї резидентной копії копіює себе у таблицю векторів переривань за адресою 0000:01E0. Потім заражає .COM-файлы за її завантаженні в пам’ять, під час відкриття та створення. Змінює перші 4 байта файла на команду переходу на тіло вірусу (STI; JMP Loc_Virus).

Имеет деструктивні функції: залежно від лічильника часу може знищувати файли чи створювати замість файла підкаталог з такою самою ім'ям. Вірус періодично модифікує EXE-файлы в такий спосіб, що й запуск викликає стирання секторів вінчестера (стирається частина інформації, розташованої на секторах, відповідних 0−3 голівках записи/чтения).

LoveChild.2710.

Резидентный дуже небезпечний стелсвірус. Перехоплює INT 13h, 21h і записується насамкінець COM-файлов. Працює лише у DOS 3.30, т.к. робить «урізання «у тілі ОС. Коли машині стоїть інше версія DOS, виводить фразу:

Тебе мама не говорила у дитинстві, краще DOS 3.30 версії нет?

после чого псує MBR. З півночі до запланованих 4 годині ранку під час запуску заражених програм опубліковує екран. 22 лютого, 32 квітня (?!), 23 червня, 24 серпня, 6 жовтня і п’яти листопада займається мерзенністю: пише «Привіт від ГКЧП », потім очищає екран і виводить довше послання, після чого стирає інформацію на вінчестері. Ось лише частина цього сообщения:

Вирусисты всіх країн, єднайтеся. Об'єднання MMM пропонує за рублі, за нижчими від ринкових вітчизняні віруси, сумісні з IBM PC/AT PC/XT з кожного периферією. Постачання зі складу у Москві. Гарантійне і послегарнтийное обслуговування. У МММ був проблем. LoveChild v4 in reward for software stealing. LoveChild virus family. (з) Flu Systems intnl. Росія-Україна. Віруси LoveChild будуть з’являтися до того часу, поки СРСР (чи як він там) буде прийнятий з-н про права. Поки що жчервінець в зуби і до Лозинскому.

[14] Win95. HPS, aka Hanta (см. приложение 2, рис.3) Заражає PE-файлы (Portable Executable). Після запуску инсталлирует себе у ядро Windows95/98, перехоплює системні події та записується насамкінець PE EXE-файлов, яких йде звернення. Довжина вірусу — 5124 байт.

При зараження файлів шифрує себе полиморфик-кодом і записує результат в останню секцію файла, попередньо збільшивши воно, і далі змінює адресу точки входу в заголовку файла. Розмір полиморфик-цикла варіюється від зараження до зараження, тому довжина файлів може бути збільшена на різні значения.

Вірус проявляється видео-эффектом: якщо інсталяція вірусу на згадку про Windows відбулася у суботу, то вірус потім перевертає ліворуч зображення на неупакованных BMP-файлах. Повторного перекидання не відбувається — вірус позначає такі BMP-файлы записавши у яких мітку DEADBABEh.

[15] Win95. CIH Резидентный вірус, працює тільки під Windows95 і заражає PE-файлы (Portable Executable). Має досить невелику довжину — близько 1Кб. Виявлено «в живому вигляді «в Тайвані у червні 1998 — було розіслано автором вірусу на місцеві Інтернет-конференції. За наступну тиждень вірусні епідемії були зареєстровані у Австрії, Австралії, Ізраїлі й Великобретании, потім вірус виявили й у інших країнах, включаючи Россию.

Після запуску зараженого файла вірус инсталлирует свій код на згадку про Windows, перехоплює звернення до файлам і за відкритті PE EXE-файлов записує в них свою копію. Містить помилки й у окремих випадках завешивает систему під час запуску заражених файлів. Залежно від поточної дати стирає Flash BIOS і вміст дисков.

Запис в Flash BIOS можливе тільки на соответсвующих типах материнських плат і за роздільною установці відповідного перемикача. Цей перемикач зазвичай встановлено у становище «лише читання », але це справедливо задля над усіма виробниками комп’ютерів. На жаль Flash BIOS що на деяких сучасних материнських платах може бути захищена перемикачем: одні їх дозволяють запис в Flash незалежно від становищі перемикача, інших захист запис у Flash то, можливо скасовано программно.

При тестуванні вірусу до лабораторій пам’ять Flash BIOS залишилася неушкодженої - з причин вірус завісив систему без якихабо побічні ефекти. Проте з джерел відомо, що вірус при певних умов справді псує вміст Flash BIOS.

Після успішного стирання Flash-памяти вірус переходить в іншу деструктивної процедурі: стирає інформацію усім встановлених винчестерах. У цьому вірус використовує прямий доступом до дані диску і цим обходить вмонтовану в BIOS стандартну антивірусну захисту від запис у завантажувальні сектора.

Відомо три версії вірусу. Вони дуже схожі один на одного й відрізняються лише незначними деталями коду у різних підпрограмах. Версії вірусу мають різні довжини, рядки тексту і дату спрацьовування процедури стирання дисків і Flash BIOS:

Длина Текст Дата спрацьовування Виявлено «в живому вигляді «.

1003 CCIH 1.2 TTIT 26 квітня Так 1010 CCIH 1.3 TTIT 26 квітня Ні 1019 CCIH 1.4 TATUNG 26 кожного місяці Так — у багатьох странах[1].

[16] Macro. Word97.Melissa Заражає файли документів і майже шаблонів MS Word і розсилає свої копії в повідомленнях електронної пошти з допомогою MS Outlook. Вірус поширюється з надзвичайною швидкістю: процедура розсилки заражених листів відсилає велике кількість вірусних копій за адресами із усіх списків адресної книжки MS Outlook. Вірус також змінює системний реєстр, виключає антивірусну захист MS Word. Для розсилки своїх копій через електронної пошти вірус використовує можливість Visual Basic активізувати інші докладання MS Windows і використовувати їх процедури. Вірус викликає MS Outlook, зчитує з убозівської бази адрес Outlook адреси електронної пошти і посилає за цими адресами повідомлення. Це содержит:

Тема: «Important Message From [UserName] «(UserName береться з убозівської бази адресов).

Тіло листи: «Here is that document you asked for … don «t show anyone else ;-) «До повідомлення також приєднано документ (природно заражений), причому вірус приєднує той документ, які у цей момент редагується (активний документ). Як побічний ефект подібного поширення передаються файли користувача, які можуть містити конфіденційні дані. Кількість рассылаемых листів залежить від конфігурації адресної книжки Outlook (бази адрес e-mail) на конкретному комп’ютері. Вірус відкриває кожен список в адресній книзі і отылает заражене сполучення 50 першим адресами з кожного списку. Якщо у списку менше 50 адрес, вірус відсилає повідомлення попри всі їх. До кожного списку створюється одне заражене лист, полі адресата якого містить перші 50 адрес зі списку. Вірус використовує електронної пошти для свого поширення лише одне раз — при цьому перевіряється спеціальна «мітка «в системному реестре:

HKEY_CURRENT_USERSoftwareMicrosoftOffice «Melissa? «.

= «…by Kwyjibo «Якщо це ключ не знайдено, то вірус посилає повідомлення електронної пошти з прикладеними зараженими документами і це створює цей ключ в реєстрі. Вірус здатний поширюватися у версії Word97, а й у Word2000. Ця особливість вірусу пов’язані з можливість Word2000 перетворювати файли старого формату у новий за її відкритті. Причому у новий формат конвертуються всі необхідні секції файла, включаючи макро-программы (включаючи код вірусу). Як наслідок, вірус має можливість поширюватися серед Word 2000. Після запуску вірусу в Word 2000 він робить додаткові дії: виключає (встановлює в мінімум) установки безпеки (антивірусну захист). Код вірусу зберігається щодо одного макро модулі «Melissa «і складається з однієї автопроцедури: в заражених документах це «Document_Open », в NORMAL. DOT (область глобальних макросів) — «Document_Close ». Вірус заражає NORMAL. DOT під час відкриття зараженого документи й записується до інших документи за її закритті. При зараження вірус копіює свій код через підрядник з зараженого об'єкта в файл-жертву. Що стосується зараження області глобальних макросів вірус перейменовує свою процедуру в «Document_Close », а коли відбувається зараження документів, то вірусна процедура перейменовується в «Document_Open ». У результе вірус заражає Word під час відкриття зараженого документа, а при закритті інших документів вони, своєю чергою, виявляються зараженими. Вірус також має процедуру-эффект, яка спрацьовує якщо день дорівнює хвилинах в останній момент активації вірусного коду. Цю процедуру вставляє наступний текст в редагований документ: Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game «p.s over. I «m outta here. Цей текст, як і, як прізвисько автора вірусу («Kwyjibo »), узятий із телевізійного мульт-сериала «Симпсоны «(«Simpsons »). Вірус також має коментарі у своїй коде:

WORD/Melissa written by Kwyjibo.

Works in both Word 2000 and Word 97.

Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!

Word -> E-mail | Word 97 Word 2000 … it «p.s a new age!

[17] Explorer, сімейство Безпечні резидентные зашифровані віруси. Перехоплюють INT 21h і записуються насамкінець що запускаються EXE-файлов. Також шукають і нині вражають *.SYSфайли. Знищують файли CHKLIST. MS і CHKLIST.CPS. Залежно від своїх внутрішніх лічильників перехоплюють INT 15h, 1Ch і виявляються якимось видео-эффектом.

[18] I-Worm.LoveLetter Цей інтернет хробак викликав масові поразки комп’ютерів, і мереж на початку травня 2000. Черв’як поширюється в електронних листах і за активізації розсилає себе з заражених комп’ютерів. При своєму поширенні хробак використовує поштову систему Microsoft Outlook і розсилає себе за всі адресами, які у адресній книзі Outlook. Через війну вражений комп’ютер розсилає стільки заражених листів, скільки адрес зберігається в адресній книзі. Черв’як написано на скрипт-языке Visual Basic Script (VBS). Запускається лише в операційні системи з установленою Windows Scripting Host (WSH) (в Windows 98, Windows 2000 він встановлено по умолчанию).При розмноженні хробак використовує функції Outlook, доступними лише у Outlook98/2000. При активізації хробак розсилає свої копії електронною поштою, инсталлирует себе у систему, виконує деструктивні дії, скачує з Інтернет, і встановлює до системи троянський файл. Черв’як також здатний поширюватися через IRC-каналы. Знищення файлів Черв’як шукає все файли усім доступних дисках. Для файлів з різними розширеннями хробак виконує різні дії: VBS, VBE: записує натомість свою копію. JS, JSE, CSS, WSH, SCT, HTA: перейменовує його з розширенням .VBS і записує у яких свою копію. JPG, JPEG: додає до імен файлів розширення .VBS і записує у яких свою копію (наприклад, PIC1.JPG.VBS). Оригінальний файл хробак видаляє. MP2, MP3: створює новий файл безпосередньо з ім'ям MP-файла і підвищення .VBS і записує до нього свою копію. У початкових MP-файлов встановлює атрибут «прихований » .

[19] I-Worm.Sircam (см. приложение 2, рис 4) Небезпечний мережевий хробак, поширюється через мережу Інтернет, і ресурсів локальних обчислювальних мереж. Файл-носитель хробака є Windows-приложение, близько 130 Кб, написане мовою програмування Delphi. У процесі поширення хробак може прикріплювати до своїх файлам додаткові файли DOC, XLS, ZIP та інших форматів (див. нижче), отже розмір вкладеного файла може перевищувати 130 Кб. Після запуску (наприклад, подвійним клацанням на вкладеному зараженому файлі), хробак впроваджується у систему, розсилає заражені повідомлення (містять вкладені файли з копією хробака), заражає комп’ютери, підключені доступною ЛВС (тоді як мережі існують диски, доступні для записи), а також залежно від системної дати, виконує вмонтовану деструктивну процедуру. Деструктивні процедури. Залежно від поточної системної дати й часу, хробак з імовірністю 5% видаляє все файли і піддиректорії на диску, де встановлено Windows. При кожної завантаженні ОС з імовірністю 2% хробак створює файл SirCam. Sys в кореневої директорії поточного диска і записує до нього наступний текст:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX].

[SirCam Version 1.0 Copyright L 2001 2rP made in / Hecho en — Cuitzeo,.

Michoacan Mexico] Із кожним разом хробак додає цей файл, цим поступово поглинаючи вільне місце на диску. Ці та багатьох інших текстові рядки у тілі хробака зберігають у зашифрованом виде.

[20] IIS-Worm.CodeRed (AKA «Code Red », «Bady ») (см. приложение 2, див. мал.5) Перший представник даного сімейства мережевих хробаків, «Code Red «(також відомий під назвою «Bady »), за даними ZDNet, він заразив близько 12-ї 000 серверів у світі й провів великомасштабну DDo атаку» на Web сервер Білого дому (internet викликавши порушення його нормальної роботи. «Bady «заражає лише комп’ютери під керівництвом Windows 2000 (без встановлених сервісних пакетів), з установленою Microsoft Internet Information Server (IIS) і включеної службою індексування (Indexing Service). Разом про те, саме це програмне забезпечення найчастіше використовується комерційні Web, FTP і поштових серверах, що визначило стала вельми поширеною хробака. Масштаби епідемії можуть бути ще більше значними, якби хробак вражав та інші версії Windows, наприклад Windows NT і Windows XP. Проте автор хробака зумисне «націлив «його лише на системи Windows 2000. Для проникнення на віддалені комп’ютери хробак використовує виявлену в червні 2001 р. пролом у системі безпеки IIS, що дозволяє зловмисникам запускати на віддалених серверах сторонній програмний код. І тому «Bady «посилає на випадково обраний віддалений сервер спеціальний запит дає комп’ютера команду запустити основну програму хробака, що у своє чергу спробує так само проникнути на інші сервери. Водночас у пам’яті комп’ютера може існувати відразу сотні активних процесів хробака, що дуже уповільнює роботу сервера.

Важной особливістю «Bady «і те, у процесі праці не використовує ніяких тимчасових чи постійних файлів. Цей хробак унікальний: він є або у системної пам’яті заражених комп’ютерів, або у формі TCP/IP-пакета при пересилання на віддалені машини. Така «безтілесність «становить серйозну проблему за захистом серверів, адже потребує установки спеціальних антивірусних модулів на міжмережеві екрани. Крім великого уповільнення роботи заражених комп’ютерів, «Bady «має інші побічні дії. По-перше, хробак перехоплює звернення відвідувачів до Web сайту, який управляється заражених IIS-сервером, і замість оригінального вмісту передає їм таку страницу:

После показу фальсифікованої стартову сторінку зламаного Web сайту в протягом 10 годин, хробак автоматично повертає усі свої і відвідувачі бачать оригінальну версію сайту. Важливо, що це ефект виявляється лише на системах, де за вмовчанням використовується мову «US English ». По-друге: між 20 і 27 числами кожного місяці включно хробак здійснює DDo (Distributed Denial of Service) атаку" на сайт Білого дому США (internet І тому копії хробака усім заражених комп’ютерах посилають численні запити на з'єднання, що викликає зависання серверу, обслуговуючого даний Web-сайт. Для нейтралізації, соціальній та ролі профілактичної заходи для запобігання проникнення хробака на сервер, ми рекомендуємо користувачам негайно встановити «латочку «для виправлення «проломи «у системі безпеки IIS.

[21] I-Worm.MyLife (см. приложение 2, рис:6,7.) Вірус-хробак. Поширюється через Інтернет у вигляді файлів, прикріплених до заражених листів. Черв’як є додатком Windows (PE EXE-файл), має розмір близько тридцяти K (упакований UPX, розмір розпакованого файла — близько 55 K), написано на Visual Basic. Деструктивна процедура Черв’як перевіряє час, і якщо поточне значення хвилини більше 45, хробак запускає деструктивну процедуру: він видаляє файли з раширениями .SYS і .COM в кореневої директорії диска З, файли з розширеннями .COM, .SYS, .INI, .EXE в каталозі Windows, і навіть файли з розширеннями .SYS, .VXD, .EXE, .DLL в системному каталозі Windows.

[22] I-Worm.Cervivec!(см. приложение 2, рис.8) Интернет-червь Cervivec поширюється через Інтернет у вигляді файлів, прикріплених до заражених листів. Черв’як є додатком Windows (PE EXE-файл), має розмір близько 230K (упакований UPX, розмір розпакованого файла — близько 670K), написано на Delphi.

Черв’як активізується лише коли користувач сам запускає заражені файл (маючи щиглику на вкладанні). Потім хробак инсталлирует себе у систему і запускає процедури свого поширення. Для приховання своєї активності хробак запускає видео-эффект: різнобарвні «черв'яки », поедающие экран. 2].

Приложение 2.

Графічні вірусні эффекты.

Мал.1 Рис. 2.

Рис. 3 Рис.4.

Див. Мал.5 Див. Мал.6 Рис. 7.

Рис. 6.

Рис. 8.

———————————- [1] «Вірусна енциклопедія AVP». Электронный варіант 1999 р. [2] internet.