Schädliche Software, die in die Geschichte eingegangen ist. Teil III

Das Thema Kunst kann ein Bild, eine Skulptur, ein Gedicht, eine Symphonie und sogar ein Computervirus sein, egal wie seltsam es klingt. Leider ist die Entstehung von Viren heutzutage mit Gewinn aus ihrer Entstehung oder dem Schaden für andere behaftet. Zu Beginn der Computertechnologie waren Virenschreiber jedoch wahre Künstler, deren Farben Codestücke waren, die gekonnt gemischt und zu einem Meisterwerk wurden. Und ihr Ziel war es nicht, jemanden so sehr zu beleidigen, sich zu erklären, seinen Verstand und Einfallsreichtum zu demonstrieren und manchmal nur die Menschen zu amüsieren. Heute werden wir unsere Bekanntschaft mit verschiedenen Kreationen von Virenschreibern fortsetzen, die auf die eine oder andere Weise unsere Aufmerksamkeit verdienen. (Wenn Sie sich mit den vorherigen Teilen vertraut machen möchten, finden Sie hier die Links: Teil I und Teil II )

Gabelbombe (Alles Geniale ist einfach) - 1969

Fork Bomb ist kein separater Virus oder Wurm, sondern eine Familie extrem einfacher Malware. Die Fork Bomb Code Struktur kann aus nur 5 Zeilen bestehen. Durch die Verwendung einiger Sprachen zum Schreiben dieser Art von Malware müssen keine Doppelpunkte, Klammern und manchmal alle alphanumerischen Zeichen verwendet werden.

Es gibt eine Gabelbombe auf sehr einfache Weise: Für den Anfang lädt sich das Programm selbst in den Speicher, wo es mehrere Kopien von sich selbst erstellt (normalerweise zwei). Außerdem erstellt jede dieser Kopien so viele Kopien wie das Original usw., bis der Speicher vollständig gefüllt ist, was zu einem Systemabsturz führt. Dieser Vorgang dauert je nach Gerät einige Sekunden bis mehrere Stunden.

Einer der ersten aufgezeichneten Fälle der Gabelbombe ist ihr Erscheinen auf dem Burroughs 5500-Computer an der University of Washington im Jahr 1969. Diese Malware wurde RABBITS genannt. 1972 erstellte der Virenschreiber Q The Misanthrope ein ähnliches Programm in BASIC. Es ist lustig, dass der Autor in diesem Moment in der 7. Klasse war. Es gab auch einen Fall in einer unbekannten Firma im Jahr 1973, als ihre IBM 360 mit dem Kaninchenprogramm infiziert waren. Infolgedessen wurde ein junger Mitarbeiter entlassen, dem die Verbreitung des Virus vorgeworfen wurde.

Kaskade (herunterfallen) - 1987

Einer der lustigsten Viren seiner Zeit. Warum finden wir es weiter heraus?

Als der Virus in das System eindrang und aktiviert wurde, überprüfte er zunächst das Vorhandensein der Zeile „COPR. IBM. " Wenn es einen gab, sollte der Virus gestoppt sein und diesen Computer NICHT infizieren, aber aufgrund eines Fehlers im Virencode trat die Infektion trotzdem auf. Als nächstes wurde Cascade in Erinnerung behalten. Der Virus infizierte jede .com-Datei, als diese gestartet wurde. Cascade ersetzte die ersten 3 Bytes der Datei durch Code, der zum Code des Virus selbst führte.

Und nun zu den Ergebnissen des Virus. Sie wurden wirksam, wenn die infizierte Datei vom 1. Oktober bis 31. Dezember 1988 gestartet wurde. Alle Zeichen auf dem DOS-Bildschirm fielen einfach zufällig buchstäblich auf den Bildschirm. Deshalb wurde das Virus Cascade (Kaskade) genannt. Manchmal wurden gleichzeitig einige Töne wiedergegeben.

Nach der weltweiten Verbreitung erschienen viele Cascade-Varianten - etwa 40. Einige davon wurden vom vorherigen Autor in der Hoffnung erstellt, einen Fehler bei der Anerkennung des IBM-Urheberrechts zu beheben. Diese Virusvarianten infizierten jedoch weiterhin erfolgreich die Computer-Riesensysteme. Andere Optionen anstelle eines Wasserfalls von Zeichen führten zur Formatierung der Festplatten oder enthielten einfach eine Nachricht. Auf jeden Fall war es das ursprüngliche Cascade-Virus, an das sich viele erinnerten.

Es ist lustig, dass der Autor versucht hat, eine Infektion mit IBM-Computern zu vermeiden, aber gleichzeitig waren nicht nur diese infiziert, sondern das gesamte Büro in Belgien war ein Opfer. Infolgedessen hat IBM sein Antivirenprogramm für die Öffentlichkeit freigegeben, das zuvor nur innerhalb des Unternehmens verwendet wurde.

Über die Herkunft des Virus und seinen Urheber ist nichts bekannt. Es gibt Spekulationen, dass Cascade von jemandem aus Deutschland oder der Schweiz geschrieben wurde.

Eddie (Geheiligt sei dein Name) - 1988

Eines der ersten bulgarischen Viren und die erste Kreation von Dark Avenger, die nicht nur dank ihrer Viren, sondern auch dank der sogenannten Dark Avenger Mutation Engine (etwas später) äußerst berühmt wurde. Dark Avenger benannte sein Virus zu Ehren des Symbols der Iron Maiden-Gruppe - eines Skeletts namens Eddie.

Nach dem Betreten des Computers wurde der Virus speicherresident. Die Opfer der Infektion waren .com- und .exe-Dateien. Gleichzeitig war es nicht erforderlich, diese Programme für eine Infektion auszuführen. Es genügte, sie einfach zu lesen (kopieren, verschieben, den Inhalt der Datei überprüfen). Es bestand auch die Möglichkeit einer Infektion durch Antivirensoftware, die zur Infektion aller von dieser Software gescannten Dateien führen konnte. Nach jeder 16. Infektion schrieb das Virus einen zufälligen Sektor neu.


Wer der Autor einiger von ihnen ist, ist noch unbekannt. Eddie-Optionen, die aus dem Dark Avenger-Stift kommen:

• Eddie.V2000 - enthielt die folgenden "Nachrichten": "Kopiere mich - ich möchte reisen"; "© 1989 von Vesselin Bontchev."; "Nur die Guten sterben jung ..."
• Eddie.V2100 - enthielt die Wörter "Eddie lebt" und übertrug einen Anthrax-Virus, der sich im letzten Sektor der Festplatte befand, in die Partitionstabelle, wodurch der Virus wiederhergestellt wurde.

Eddie behielt lange Zeit den Status des häufigsten Volgar-Virus, während es in Westdeutschland, den USA und der UdSSR registriert wurde.

Weihnachtsmann (Ho-ho-ho) - 1988

Kurz vor Weihnachten (katholisch) im Jahr 1988 begann der Weihnachtsmannwurm seine Reise durch DECnet (eine frühe Version des Internets, sagen wir mal). Als Geburtsort des Wurms gilt die Universität Neuenburg in der Schweiz.

Die HI.COM-Datei fungierte als Wurm, der sich von einem DECnet-Knoten auf einen anderen kopierte. Dann versuchte er, sich entweder mit Task Object 0 (einem Programm, mit dem Sie Aktionen zwischen zwei verbundenen Computern ausführen können) oder über ein DECnet-Login und -Kennwort zu starten. Wenn der Start fehlschlägt, löscht der Wurm seine HI.COM-Datei aus dem System des Opfers. Bei Erfolg wird der Wurm in den Speicher geladen und anschließend mit dem Prozess MAIL_178DC die HI.COM-Datei gelöscht. Der Wurm sendet dann das Banner SYS $ ANNOUNCE an 20597 :: PHSOLIDE und überprüft anschließend die Systemuhr. Wenn die Infektionszeit am 24.12.1988 zwischen 00:00 und 00:30 Uhr liegt, erstellt der Wurm eine Liste aller Benutzer des Systems und sendet ihre Kopien an diese. Wenn die Infektion nach 00:30 Uhr des oben genannten Datums auftrat, war der Wurm einfach nicht mehr aktiv.

Auf der Suche nach einem neuen Opfer erzeugte der Wurm zufällig eine Zahl zwischen 0 und 63 * 1024. Als die entsprechende Nummer gefunden wurde, kopierte er die HI.COM-Datei in das Wasser des Opfers. Nach 00:00 Uhr am 24.12.1988 fand keine Verteilung statt.

Der Weihnachtsmann zeigte auch eine Nachricht an (sehr freundlich, wenn ich so etwas über Malware, Charakter sagen darf):

"Von: NODE :: Weihnachtsmann 24-DEZ-1988 00:00
An: Sie ...
Betreff: Weihnachtskarte.

Hallo

Wie geht es dir Es fiel mir schwer, alle Geschenke vorzubereiten. Es
ist keine leichte Aufgabe. Ich bekomme immer mehr Briefe von
die Kinder jedes Jahr und es ist nicht so einfach, das Schreckliche zu bekommen
Rambo-Kanonen, Panzer und Raumschiffe hier oben im
Nordpol. Aber jetzt kommt der gute Teil. Alle verteilen
Die Geschenke mit meinem Schlitten und den Hirschen machen echt Spaß. Wenn ich
Rutsche die Schornsteine ​​hinunter Ich finde oft ein kleines Geschenk von angeboten
die Kinder oder sogar ein kleiner Brandy vom Vater. (Ja!)
Jedenfalls werden die Schornsteine ​​immer enger
Jahr. Ich denke, ich muss meine Diät wieder aufsetzen. Und danach

Weihnachten habe ich meine großen Feiertage :-).

Jetzt hör auf zu rechnen und hab eine gute Zeit zu Hause !!!

Frohe Weihnachten
und ein frohes neues Jahr

Dein Weihnachtsmann »

Der Weihnachtsmann wurde kein Eroberer der Welt, er infizierte nur 6.000 Maschinen und nur 2% von ihnen aktivierten den Wurm. Es gibt jedoch eine merkwürdige Tatsache: Ein Wurm aus der Schweiz erreichte das Goddard Space Flight Center in einem Vorort von Washington in nur 8 Minuten.

Der Schöpfer eines solch ungewöhnlichen und chronologisch gebundenen Wurms wurde nie gefunden. Es ist nur bekannt, dass von der Universität ein Computer verwendet wurde, auf den viele Menschen Zugriff hatten.

Isländisch (Eyjafjallajökull) - 1989

Der erste Virus, der nur eine EXE-Datei auf einem DOS-System infiziert hat. Geburtsort - Island.

Isländisch gelangte in Form einer EXE-Datei an den Computer, bei deren Start sich der Virus im Systemspeicher selbst überprüfte. Wenn es keine Kopie davon gab, wurde der Virus resident. Er modifizierte auch einige Speicherblöcke, um seine Anwesenheit zu verbergen. Dies kann zu einem Systemabsturz führen, wenn das Programm versucht, in dieselben Blöcke zu schreiben. Der Virus infizierte dann jede zehnte ausführbare Datei und fügte am Ende jeweils einen eigenen Code hinzu. Wenn die Datei schreibgeschützt wäre, würde Isländisch ihren Code löschen.

Wenn der Computer Festplatten mit mehr als 10 Megabyte verwendet hat, hat der Virus den nicht verwendeten FAT-Bereich ausgewählt und als defekt markiert. Dieser Vorgang wurde jedes Mal ausgeführt, wenn eine neue Datei infiziert wurde.

Es gab auch verschiedene isländische Sorten, die sich in einigen Funktionen und Eigenschaften voneinander unterschieden:

• Isländisch.632 - infiziert jedes dritte Programm. Wird als defekter Cluster auf der Festplatte markiert, wenn er mehr als 20 Megabyte beträgt.
• Icelandic.B - wurde verbessert, um die Erkennung durch einige Antivirenprogramme zu erschweren. Es wurden keine anderen Aktionen als die Verteilung ausgeführt.
• Icelandic.Jol ist eine Untervariante von Icelandic.B, die am 24. Dezember eine Nachricht auf dem isländischen Gledileg jol (Frohe Weihnachten) anzeigte.
• Icelandic.Mix1 - erstmals in Israel entdeckt, verursachte Verzerrungen bei der Übertragung auf serielle Geräte (z. B. Drucker);
• Icelandic.Saratoga - mit einer Wahrscheinlichkeit von 50% wurde eine laufende Datei infiziert.

Diamant (Glanz hell wie ein Diamant) - 1989

Ein weiteres Virus aus Bulgarien. Es wird angenommen, dass sein Autor Dark Avenger ist, da dieser Virus viel mit seiner ersten Kreation, Eddie, gemeinsam hat.

Beim Start eines infizierten Programms drang der Virus in den Speicher ein und belegte 1072 Byte. Der Virus überprüfte Programme mit Interrupt-Monitoren 1 oder 3. Falls vorhanden, führte diese Überprüfung dazu, dass das System einfrierte und der Virus sich nicht mehr selbst replizieren konnte. Falls es keine solchen Programme gab, trat Diamond einem laufenden Programm bei, das weniger als 1024 Bytes wog. Während des Infektionsprozesses hat der Virus die Datei COMMAND.COM vermieden. Auch im Virus selbst konnte eine Linie erkannt werden, die die Identifizierung erleichtert - „7106286813“.

Diamond wurde zum Vorläufer mehrerer seiner Varianten, die sich in der Art der Wirkung auf das infizierte System und der Ausbreitungs- und Infektionsmethode unterschieden:

Rock stetig

Ein 666-Byte-Virus, der nicht im Speicher gespeichert wurde, wenn am 13. eines Monats eine Infektion auftrat. Stattdessen wurden die ersten 1 bis 10 Sektoren auf der ersten Festplatte formatiert. Danach habe ich die ersten 32 Sektoren des Laufwerks C: mit Junk-Daten überschrieben und das System neu gestartet. Es wurde erstmals in Montreal (Kanada) entdeckt.

Sehr merkwürdig war die Art und Weise, wie die Datei infiziert wurde. Zunächst überprüfte Rock Steady das „Gewicht“ der Datei: weniger als 666 Byte (für jedes Format) und mehr als 64358 Byte (für .com-Dateien). Als nächstes überprüfte der Virus, ob die Dateinamen mit den Buchstaben "MZ" und "ZM" beginnen, und änderte sie anschließend von "ZM" in "MZ" und umgekehrt. Der Virus änderte auch den Wert auf 60 und entfernte sein "Gewicht" von 666 Bytes von der Größe der infizierten Datei.

David

Vielleicht kam aus Italien. Es wurde erstmals im Mai 1991 gesehen. Die erste Version dieses Virus konnte keine EXE-Dateien infizieren, aber die im Oktober 1992 veröffentlichte Unterversion hatte diese Möglichkeit bereits. Es führte zu einem häufigen Systemabsturz, als die .com-Datei ausgeführt wurde, während der Virus während der Infektion die COMMAND.COM-Datei nicht wie das Original umging. Wenn die infizierte EXE-Datei am Dienstag gestartet wurde, hat der Virus die Datenträger formatiert. Auf dem Bildschirm wird auch ein springender Tischtennisball und eine Meldung wie folgt angezeigt:

© David Grant Virus Research 1991 PCVRF Verteilen Sie dieses Virus
frei !!! ... ah ... John ... Fick dich!

Schaden

Es gibt eine Meinung, dass dieses Virus von demjenigen erstellt wurde, der David geschrieben hat, da Damage auch im Mai 1991 gefunden wurde, ebenfalls in Italien. Der Virus infizierte die Datei, deren Größe 1000 Byte überschritt, ohne die Datei COMMAND.COM zu umgehen. Wenn die Systemuhr 14:59:53 zeigte, erschien auf dem Bildschirm ein mehrfarbiger Diamant, der in kleinere Diamanten zerfiel und Zeichen vom Bildschirm entfernte. Die Sätze "Schaden" (für die es seinen Namen bekam) und "Sprung vor Freude !!!" wurden im Virencode gefunden.

Luzifer

Ein weiteres Virus aus Italien, entdeckt im Mai 1991. Die Datei infizierte mehr als 2 Kilobyte, einschließlich COMMAND.COM. Wenn der Zeitstempel der Datei vor der Infektion 12:00 war, verschwindet der Virus nach der Infektion.

Greemlin

Oh, dieses Italien, oh, diesen Mai 1991. Dieser Virus ist auch von dort. Das System wurde stark verlangsamt (um ca. 10%). Am 14. Juli eines jeden Jahres habe ich einige Sektoren der Laufwerke A :, B: und C: neu geschrieben.

Es gab mehrere andere Optionen, aber ihr Hauptmerkmal war, dass sie die Verfügbarkeit ihrer Kopien in den Opferakten nicht überprüften, was zu einer erneuten Infektion der letzteren führte.

Alabama (Alabama Shakes) - 1989

Ein Virus unter dem DOS-System, der EXE-Dateien infiziert hat. Wenn eine infizierte Datei aktiviert wurde, wurde der Virus speicherresident. Im Gegensatz zu anderen residenten Viren hat Alabama die Datei jedoch nicht infiziert, als sie ausgeführt wurde. Der Virus suchte in diesem Verzeichnis nach einer Infektionsdatei. Wenn dies nicht funktionierte, wechselte er erst dann zur Infektionsmethode für aktivierte Dateien. Anstatt Dateien zu infizieren, öffnete der Virus am Freitag eine beliebige Datei anstelle dessen, was der Benutzer öffnen wollte. Alabama zeigte eine Stunde nach der Infektion des Systems blinkenden Text auf dem Bildschirm an:

SOFTWAREKOPIEN VERBOTEN DURCH INTERNATIONALES RECHT ...
Box 1055 Tuscambia ALABAMA USA.

Dark Avenger Mutation Engine (DAME) - 1991

Dies ist kein Virus, aber dieses Modul hat einen bestimmten Dark Avenger, den wir zuvor erwähnt haben, extrem berühmt gemacht.

Wenn ein Virus, der DAME verwendet, eine Datei infizierte, gab die Ransomware den Virencode als Müll aus. Und als die Datei geöffnet wurde, gab der Decoder den Virencode auf seine vorherige Arbeitsform zurück.

Dark Avenger fügte außerdem ein Archiv hinzu, das ein separates Modul zum Generieren von Zufallszahlen enthielt, das bei Verwendung zur Verbreitung des Virus beitrug.

Dank des DAME-Moduls ist es für Virenschreiber trotz der Komplexität der Implementierung des Moduls im Code des ursprünglichen Virus viel einfacher geworden, polymorphe Viren zu erstellen. Darüber hinaus ermöglichte die Verwendung des Moduls die Erstellung vieler Varianten desselben Virus. Laut Malware-Forschern gab es Ende 1992 etwa 900.000 verschiedene Virusvarianten, die DAME verwendeten.

Raumschiff (Zurück in der UdSSR) - 1991

Also kamen wir in unsere Heimat. Das Raumschiff-Virus wurde in der UdSSR geschaffen. Aber seine Besonderheiten enden hier nicht.

Zu einer Zeit sehr kompliziert und ungewöhnlich war die Methode der Infektion mit dem Starship-Virus. Dieser Virus infizierte Dateien wie .com und .exe. Als diese Dateien geöffnet wurden, infizierte Starship den Master-Boot-Datensatz. Gleichzeitig wurde der Virus nicht speicherresident und infizierte keine anderen .com- und / oder .exe-Dateien. Starship hat drei Bytes in partitionierten Datentabellen geändert und seinen Code in 6 aufeinanderfolgende Sektoren der letzten Spur der Festplatte eingefügt.

Starship verfolgte auch, wie oft der Computer gestartet wurde. In diesem Fall lud sich der Virus in den Videospeicher, wo er entschlüsselt (dh bereitgestellt) wurde. Im Videospeicher hat der Virus Interrupts verletzt, um sich vor einem erneuten Schreiben auf die Festplatte zu schützen, und auf den Abschluss des ersten Programms gewartet, zu dem er gekommen ist. Als dies passierte, verschob sich der Virus in den Hauptspeicher, wo er 2688 Bytes belegte.

Starship infizierte dann die .com- und .exe-Dateien auf den Laufwerken A: und B:. Gleichzeitig fügte er seinen Code erst nach dem Schließen in die Datei ein, was die Erkennung erschwerte.

Das Ergebnis des Virus war nach 80 Computer-Downloads sichtbar. Zu den melodischen Klängen auf dem Bildschirm wurden farbige Pixel angezeigt, von denen jedes eine der Verbindungen zu den Platten bezeichnete.

Groove ("Wenn Sie einen Groove in Gang bringen, vergeht die Zeit") - 1992

Und hier ist nur der Virus, der die Dark Avenger DAME-Erstellung zur Verschlüsselung verwendet hat (Absatz 8). Groove war der erste Virus, der das oben genannte Modul zum Infizieren von EXE-Dateien verwendete. Die Heimat dieser schädlichen Software ist Deutschland, obwohl es gelungen ist, sich auf der ganzen Welt zu verbreiten und sogar die Vereinigten Staaten zu erreichen.

Der Virus befand sich nach Aktivierung der infizierten Datei im „hohen“ Speicher unterhalb des Grenzwerts


Der Groove-Virus hat seinen Code an die vom Benutzer ausgeführten .com- und EXE-Dateien angehängt. Um .exe-Dateien zu infizieren, mussten letztere kleiner als eine bestimmte Größe sein (leider habe ich keine Informationen darüber gefunden). Die Infektion von Programmen führte zu einer Unterbrechung ihrer Arbeit. Und Infektion COMMAND.COM auf die Unfähigkeit, das System zu booten.

Nach 00:30 zeigte der Virus die folgende Meldung an:

Keine Sorge, Sie sind zu dieser Stunde nicht allein ...
ThisVirus ist NICHT Sara
gewidmet, sondern ihrem Groove (... so heißt ich).
Dieser Virus ist nur ein Testvirus, der
für meinen nächsten Test bereit ist.

Um seine Existenz zu verlängern, hat der Virus Dateien im Zusammenhang mit Antivirenprogrammen gelöscht oder beschädigt.

Qarks Inzestfamilie ("Wir sind eine Familie, ich habe alle meine Schwestern dabei ...") - 1994

In diesem Abschnitt werden wir nicht ein einziges Virus betrachten, sondern die gesamte „Familie“ der Urheberschaft des australischen Virenschreibers Qark, der sich infolgedessen der Waffenbrüdergruppe VLAD (Virus Labs & Distribution) angeschlossen hat. Die lebhafte Tätigkeit von Qark in den Reihen der Organisation fällt in den Zeitraum von 1994 bis 1997.

Und jetzt mehr über die "Familienmitglieder" des viralen Clans.

Papa

Durch Reduzieren der Größe des MCB (Memory Control Block), aber nur, wenn dieser MCB der letzte in der Kette ist. Der Virus kann auch einen eigenen MCB erstellen, indem er den Eigentümerfeldwert (0x0008 - command.com) festlegt und INT 21h beitritt.

Dateien werden infiziert, wenn sie geöffnet werden oder wenn der Benutzer mit ihren Daten oder Eigenschaften vertraut wird. Daddy hat auch die Größe seines Standortverzeichnisses vor FCB findfirst / findnext versteckt. Und infizierte Dateien wurden als solche markiert, indem der Zeitstempelwert in den Datumsstempelwert geändert wurde.

Papa enthielt auch die folgenden Zeilen:

[Inzest Papa]
von Qark / VLAD

Mummy

Wenn unter MS-DOS keine Dateierweiterung für die Ausführung angegeben wurde, wurde .COM-Dateien Vorrang vor .EXE-Dateien eingeräumt. Infizierte .com-Dateien haben den Virus gestartet und dann die ursprünglichen .exe-Dateien geöffnet. Zunächst startete der Virus die ursprünglichen EXE-Dateien, woraufhin er durch Beitritt zu INT 21h ansässig wurde.

Wie Daddy wurde der Virus verschlüsselt und verwendete ähnliche Methoden, um der Erkennung zu entgehen. Darüber hinaus hatte Mummy einen weiteren ungewöhnlichen Stealth-Mechanismus: .com-Begleitdateien wurden mit versteckten Attributen erstellt. Beim Start von ASCII FindFirst entfernte der Virus den verborgenen Teil aus der angeforderten Attributmaske. Dadurch wurde vermieden, dass infizierte Dateien in die Liste der Antivirensuchergebnisse aufgenommen wurden.

Der Mummy-Viruscode enthielt die Signatur:

[Mummy Incest] von VLAD aus Brisbane.
Rasse Baby Rasse!

Schwester

Dieser Virus verwendete dieselbe MCB-Manipulationsmethode wie Daddy. Flags wurden während der folgenden Aufgaben infiziert: Öffnen, Ausführen, Chmod, Umbenennen. Infizierte Dateien wurden durch Hinzufügen des "magischen" Werts im MZ-Format markiert.

Unterschrift im Schwesterviruscode:

[
Inzestschwester ] von VLAD - Brisbane, OZ

Bruder

Um sich nicht zu wiederholen, sagen wir einfach, dass dieses Virus dasselbe getan hat wie andere Vertreter der „Familie“: Es hat das MCB geändert und ist INT 21h beigetreten. Außerdem wurden die Prüfsummenbasis von Central Point Anti-Virus und Microsoft Anti-Virus Antivirus gelöscht. Um infizierte Dateien zu markieren, setzen Sie den Wert von Sekunden im Zeitstempel auf 62.

Tentakel (Ich bin das Tentakel-Virus!) - 1996

Eine andere Familie von Viren, obwohl ihre Vertreter nicht gleichzeitig erstellt wurden, sondern nur als verschiedene aktualisierte Versionen aufeinander folgten. Mögliche Herkunftsländer dieses Virus können als Großbritannien oder Frankreich angesehen werden.

Nach dem Aktivieren der infizierten Datei begann der Virus in der Umgebung des aktuell geöffneten Verzeichnisses und in der Windows-Verzeichnisumgebung zu suchen. Der Zweck der Suche sind EXE-Dateien. Im geöffneten Verzeichnis wurde 1 Datei unter Windows 2 infiziert. Durch den Virenvorgang wurden einige Dateien beschädigt.

Eine Besonderheit des Tentacle-Virus war das Ersetzen des Symbols für infizierte Dateien durch ein eigenes (siehe Abbildung unten), jedoch nur, wenn die Infektion von 00:00 bis 00:15 Uhr auftrat.

Auch im Virencode könnte man den Satz finden:

Virenalarm! Diese Datei ist mit Win.Tentacle infiziert

GAP (Dios y Federacion) - 1996

Makrovirus unter Word von Jacky Qwerty aus Venezuela. Einige Wochen später verbreitete er sich jedoch auf der ganzen Welt.

Der Virus enthielt je nach Sprachversion von Word 10 bis 15 Makros. Wenn die Sprache Englisch ist, waren die Makros wie folgt:

• Cap
• AutoExec
• AutoOpen
• Datei öffnen
• Autoclose
• FileSave
• FileSaveAs
• Dateivorlagen
• ToolsMacro
• Fileclose

In anderen Sprachversionen erstellte der Virus 5 weitere zusätzliche Makros, die Kopien der letzten fünf der obigen Liste waren. Wenn eine infizierte Datei aktiviert wurde, löschte der CAP-Virus Makros aus NORMAL.DOT und ersetzte sie durch eigene. Die Schaltflächen Makros, Anpassen und Vorlagen sind jedoch aus dem Dropdown-Menü verschwunden. Wenn sich in der Symbolleiste ein Symbol befand, funktionierte es einfach nicht mehr.

Beim Entschlüsseln von Makros wird die folgende Meldung angezeigt:

'CAP: Un virus social ... y ahora digital ...
' "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
"Venezuela, Maracay, Dic 1996.
" PD Que haces gochito? Nunca seras Simon Bolivar ... Bolsa!

Esperanto ("Ich habe einen Film in Esperanto gemacht") - 1997

Das weltweit erste Multiprozessor-Virus. Er verkrüppelte sowohl auf Microsoft Windows- und DOS-PCs mit x86-Prozessoren als auch auf MacOS mit Motorola- oder PowerPC-Prozessoren.

Arbeiten unter Windows und DOS

Zunächst überprüfte der Virus nach der Aktivierung, ob eine Arbeitskopie von sich selbst im Speicher vorhanden ist. Wenn es keine gab, wurde es in Erinnerung behalten. Infizierte .com- und .exe-Dateien beim Öffnen. Es könnte auch die Hauptdateien von DOS, NewEXE und Portable EXE infizieren.

Arbeiten Sie unter MacOS

Für eine erfolgreiche Infektion von Dateien am Ende des Virencodes war eine spezielle MDEF-Ressource. Das Betriebssystem interpretiert Intel-Code als Junk und fährt sofort mit der Motorola-Code-Verarbeitung fort. Dies führt dazu, dass der Code vom Betriebssystem ohne Emulation ausgeführt wird, sodass der Virus im Speicher gespeichert werden kann. Die Fähigkeit des Virus, unter MacOS mit einem PowerPC-Prozessor ausgeführt zu werden, beruht auf der Motorola-Emulation im Macintosh-Kern. Aufgrund der Infektion von Systemdateien wurde der Virus beim Systemstart aktiviert. Esperanto infizierte auch den Finder, was zur Infektion aller über dieses Programm geöffneten Dateien führte. Wie bei Windows und DOS konnte unter MacOS jeweils nur eine Kopie des Virus ausgeführt werden.

Esperanto könnte problemlos von Windows zu MacOS und umgekehrt wechseln. Um einen MacOS-Computer über .com- und .exe-Dateien zu infizieren, hat der Virus die MDEF-Ressource mit dem Virus ausgegeben. Um .com- und .exe-Dateien von MacOS-Dateien zu infizieren, suchte der Virus nach ausführbaren Windows-Dateien, die im Emulator ausgeführt werden.

Am 26. Juli zeigte der Virus eine Meldung an (wenn sich der Virus auf einem 32-Bit-Windows-System befand):

Egal deine Kultur / Ne gravas via kulturo,
Esperanto wird darüber hinausgehen / Esperanto preterpasos gxin;
egal die Unterschiede / ne gravas la diferencoj,
Esperanto wird sie überwinden / Esperanto superos ilin.

Egal, Ihr Prozessor / Ne gravas via procesoro,
Esperanto wird darin arbeiten / Esperanto funkcios sub gxi;
egal Ihre Plattform / Ne Gravas über Platformo,
Esperanto wird es infizieren / Esperanto infektos gxin.

Jetzt nicht nur eine menschliche Sprache, sondern auch ein Virus ...
Unmögliches möglich machen, Esperanto.

Der 26. Juli wurde nicht zufällig ausgewählt, da dieser Feiertag der Esperanto-Tag ist. Am 26. Juli 1887 schuf Ludwik Lazar Zamenhof eine universelle Sprache namens Esperanto.

Gollum ("mein Schatz") - 1997

Der Virus wurde von einem Spanier namens GriYo geschrieben, der behauptete, seine Kreation sei der erste hybride DOS / Windows-Virus.

Gollum infizierte die EXE-Dateien, um diejenigen zu vermeiden, die "v" in ihrem Namen enthielten oder mit "TB" begannen, und so den Kontakt mit Antivirenprogrammen zu vermeiden.

Bei der ersten Aktivierung führte der Virus die Datei GOLLUM.386 in den Systemordner ein. Und die Zeile DEVICE = GOLLUM.386 wurde der Datei system.ini hinzugefügt. Mit diesem Add-On konnte der Virus bei jedem Start ausgeführt werden.

Nach dem ersten Neustart wurde Gollum unter dem Deckmantel eines Treibers für virtuelle Geräte im Speicher gespeichert. Wenn die EXE-Datei über das DOS-Fenster aktiviert wird, hat der Virus seinen Code an diese Datei angehängt und sie dadurch infiziert.

Das Ergebnis des Gollum-Virus war das Entfernen von Datenbanken einiger Antivirenprogramme und die Einführung des Trojaners GOLLUM.EXE in das System.

Der folgende Text kann auch im Virencode erkannt werden:

GoLLuM ViRuS von GriYo / 29A
Tief hier unten im dunklen Wasser lebte der alte
Gollum, eine kleine schleimige Kreatur. Ich weiß nicht,
woher er kam, wer oder was er war.
Er war ein Gollum - dunkel wie Dunkelheit, bis
auf zwei große runde blasse blasse Augen in seinem dünnen Gesicht.
JRR ToLkieN ... Der HoBBit

Dies ist ein Auszug aus dem Buch Der Hobbit von J. R. R. Tolkien, das eine Kreatur namens Gollum beschreibt, die auch vielen aus den Büchern des Herrn der Ringe sowie aus Adaptionen von Peter Jackson bekannt ist. Es war diese Kreatur, die dem Virus selbst seinen Namen gab.

Babylonien (Muschel) - 1999

Brasilianischer Virus vom Vecna-Virenschreiber, der EXE-Dateien auf Computern unter Windows 9x infiziert hat.

Nach der Extraktion wurde der Virus nicht sofort aktiv. Zunächst wurde JMP oder CALL gepatcht und auf einen Anruf gewartet. Der Virus scannte den Kernel des Betriebssystems, erhielt die Adressen der Windows-API-Funktion und installierte sich unter dem Deckmantel eines VxD-Systemtreibers.

Der Virus hat eine bestimmte Menge an Speicher zugewiesen, wodurch eine Bindung im IFS-Handler hergestellt wurde. Danach erwartete ich Zugriff auf Hilfe-, Portable Executables- und WSOCK32.DL-Dateien. Außerdem hat der Babylonia-Virus das System nach heruntergeladenen Antivirenbibliotheken SPIDER.VXD und AVP.VXD durchsucht. Wenn es welche gab, hat der Virus sie gepatcht, wodurch sie keine Dateien mehr öffnen konnten.

Wenn der Babylonia-Virus eine tragbare ausführbare Datei infiziert, hängt er sich an den letzten Sektor an oder überschreibt den Abschnitt .reloc. Der CODE-Bereich wird auch nach verfügbarem Speicherplatz durchsucht, um den Virus anzurufen. Hilfedateien werden infiziert, indem die Kontrolle über die USER32 EnumWindows API-Rückruffunktion an den Virencode übergeben wird.

Der Virus verbreitete sich per E-Mail. Zunächst fügte er seinen Code der Funktion send () in WSOCK32.DLL hinzu. Dies führte dazu, dass in allen Briefen, die der Benutzer vom infizierten Computer gesendet hatte, angehängte Dateien mit einem Virus namens X-MAS.exe mit einem Weihnachtssymbol angehängt waren.

Spätere Versionen von Windows konnten nicht infiziert werden, da Babylonia bestimmte VxD-Aufrufe hatte, die ausschließlich für Windows 9x bestimmt waren.

Der Babylonia-Virus kann mithilfe des Online-Update-Moduls aktualisiert werden. Dieses Modul befand sich im Windows-Systemordner unter dem Namen KERNEL32.EXE, der beim Start des Systems selbst gestartet wurde. Außerdem konnte es in der Aufgabenliste über STRG + ALT + ENTF nicht angezeigt werden.

Obwohl sich das Babylonia-Virus nicht weit verbreitete und keine globale Bedrohung darstellte, konnten die Methoden seines Moduls zur Verbreitung, Infektion und Aktualisierung dieses Virus an Popularität gewinnen.

Ich habe keine Daten zum Namen dieses Virus gefunden. Babylonien ist jedoch der Name der Gattung der Meeresschnecken. Es kann auch angenommen werden, dass der Name des Virus vom Wort "Babylon" stammt (Babylon ist eine Stadt im alten Mesopotamien).

Verdammt (verdammt noch mal, Virus) - 2000

Ein Virus für Systeme der Windows 9x-Serie, der seinen Ursprung in Russland hat.

Bei Aktivierung lud sich der Virus selbst in den Speicher, infizierte anschließend die aktivierten EXE-Dateien und fügte ihnen seinen eigenen Code hinzu.


Alle zum gleichen Zweck - um sich zu verstecken - entfernte der Virus die VxD-Antivirentreiber AVP und Spider. Vermeidet auch die Erkennung durch den Soft-Ice-Debugger von Microsoft.

Jeden Monat, am ersten Tag, versteckte der Virus alle Symbole auf dem Desktop, indem er den Wert "1" zu "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop" hinzufügte.

Im Dammit-Viruscode konnte Folgendes festgestellt werden:

DAMMiT von ULTRAS [MATRiX]
© 2000

Wobei ULTRAS der Autor des Virus ist und MATRiX das Journal der Virenschreiber, in dem der Code für diesen Virus veröffentlicht wurde.

Blebla ("Denn nie war eine Geschichte von mehr Leid als diese von Julia und ihrem Romeo") - 2000

Postworm aus Polen in Delphi geschrieben. Er wurde einer der ersten Würmer, die ohne das Eingreifen eines Benutzers einer infizierten Maschine aktiviert werden konnten. Auch bekannt als Verona oder Romeo und Julia.


In diesem Brief gab es 2 angehängte Dateien Myjuliet.chm und Myromeo.exe. Der Text des Briefes selbst enthielt HTML, das die angehängten Dateien im Windows Temp-Ordner speicherte und Myjuliet.chm startete. Letzterer extrahierte wiederum den Hauptteil des Wurms aus der Datei Myromeo.exe.

Myromeo.exe startet die Romeo & Julia-Aufgabe, die in der Aufgabenliste angezeigt wird. Er sucht nach einem Prozess namens HH.exe, der .chm-Dateien verarbeitet, und versucht, ihn zu deaktivieren, um den Benutzer nicht vor seiner Anwesenheit zu warnen.

Als nächstes verbreitet sich der Wurm über sechs Mailserver in Polen (keiner von ihnen funktioniert bereits):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

Der Wurm verfügt außerdem über eine eigene SMTP-Engine, die versucht, eine Verbindung mit einem der oben genannten Server herzustellen, um eine E-Mail mit angehängten MIME-Dateien zu senden.

Trotz der Tatsache, dass der Wurm nicht viel Schaden anrichtete, wurde er in den Medien vielfach publik gemacht.

YahaSux / Sahay (ich mag dich nicht) - 2003

Unter den Virenschreibern befinden sich auch Mozart und Salieri. Sie sind genauso brillant und mögen sich auch nicht. Der YahaSux-Wurm ist die Kreation von Gigabyte, die den Autor des Yaha-Wurms anscheinend nicht mochte.

Das Opfer erhielt eine E-Mail zum Thema „Fw: Lehnen Sie sich zurück und lassen Sie sich überraschen ...“ mit folgendem Inhalt:

Stellen Sie sich eine Zahl zwischen 1 und 52 vor.
Sagen Sie es laut und wiederholen Sie es, während Sie weiterlesen.
Denken Sie an den Namen einer Person, die Sie kennen (des anderen Geschlechts).
Zählen Sie nun, welche Stelle im Alphabet der zweite Buchstabe dieses Namens hat.
Fügen Sie diese Nummer zu der Nummer hinzu, an die Sie gedacht haben.
Sagen Sie die Nummer dreimal laut.
Zählen Sie nun, welche Stelle im Alphabet der erste Buchstabe Ihres Vornamens hat, und
subtrahieren Sie diese Zahl von der, die Sie gerade hatten.
Sag es dreimal laut.
Lehnen Sie sich jetzt zurück, sehen Sie sich die beigefügte Diashow an und lassen Sie sich überraschen.

Diese an den Brief angehängte Datei war der Bildschirmschoner MathMagic.scr. Nach dem Aktivieren der Wurmdatei befinden sich die kopierfähigen und ausführbaren Wurmdateien von Yaha nav32_loader.exe im Systemordner. Wenn die Suche keine Ergebnisse ergab, kopiert sich YahaSux unter dem Deckmantel einer winstart.exe-Datei in einen Ordner.

Außerdem wurde der Kampf gegen die verhasste Yaha noch lustiger. YahaSux hat versucht, einen Prozess namens WinServices.exe (oder WINSER ~ 1.EXE) abzubrechen, der mit Yaha.K zusammenhängt. Löschte ausführbare Yaha.K-Dateien aus der Schlüsselregistrierung und stellte den ursprünglichen Wert wieder her. Außerdem wurden Änderungen an der WinServices-Verbindung vorgenommen (der Wert wurde wie folgt festgelegt: Standard = (Systemverzeichnis) \ winstart.exe), sodass der Wurm beim Einschalten des Systems automatisch gestartet werden konnte.

YahaSux hat auch die Datei yahasux.exe im Systemordner und im Ordner Mirc Download erstellt. Er hat sich an alle EXE-Dateien im Ordner mirc \ download in den Programmdateien angehängt und im Stammverzeichnis auf dem Laufwerk C: die Datei MathMagic.scr hinzugefügt.

Der Wurm verbreitete sich, indem er sich an alle Empfänger in der Outlook-Adressbuchliste sendete.

Nach 40 Sekunden Aktivität wird das infizierte PC-System heruntergefahren. Nach dem Neustart und Löschen einer anderen Datei im Zusammenhang mit Yaha.K - tcpsvs32.exe zeigte der YahaSux-Wurm das folgende Fenster mit der Meldung an:



Warum mochte Gigabyte, der Autor von YahaSux, den Wurm Yaha.K und seinen Autor nicht? Tatsache ist, dass Yaha.K die Homepage im Internet Explorer in coderz.net geändert hat, auf dem die Webseiten von Gigabyte selbst gehostet wurden. All dies führte zum Ausfall des coderz.net-Servers.

In seiner neuen Version von Yaha.Q hinterließ der Autor im Code eine Nachricht für seinen Rivalen:

zu gigabyte: chEErS pAL, kEEp uP the g00d w0rK..buT W32.HLLP.YahaSux is ... lolz;)

So ist der Kampf der Intelligenzen.

Lovgate (Öffne mich, ich bin kein Wurm. #Wink) - 2003

Ein Wurm aus China, der die Eigenschaften eines Trojaners besaß.


Nach der Aktivierung kopierte sich der Wurm unter dem Deckmantel einer der Dateien in den Windows-Systemordner:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

Um sich zu erlauben, gleichzeitig mit dem Systemstart zu starten, handelte der Wurm abhängig von der Version des Systems.

Windows 95, 98 oder ME

Die Zeile run = rpcsrv.exe wurde der Datei Win.ini hinzugefügt. Wenn auf dem System Registrierungen vorhanden waren, wurden dem Registrierungsschlüssel des lokalen Computers die Werte "syshelp =% system% \ syshelp.exe", "WinGate initialize =% system% \ WinGate.exe -remoteshell" und "Module Call initialize = RUNDLL32.EXE" hinzugefügt. reg.dll ondll_reg ".

Der Wert "winrpc.exe% 1" wurde ebenfalls zur Schlüsselregistrierung hinzugefügt, damit der Wurm jedes Mal gestartet werden kann, wenn der Benutzer eine Textdatei öffnet.

Windows 2000, NT oder XP

Der Wurm kopierte sich unter dem Deckmantel einer ssrv.exe-Datei in den Systemordner und fügte der Registrierung der Schlüssel des lokalen Computers den Wert "run = rpcsrv.exe" hinzu.

Außerdem wurde die Schlüsselregistrierung des lokalen Computers Software \ KittyXP.sql \ Install hinzugefügt.

Nach diesen Aktionen hat der Wurm die folgenden Dateien, die seine Trojaner-Komponenten sind, in den Systemordner eingeführt und anschließend aktiviert: ily.dll; task.dll; reg.dll; 1.dll.

Einige dieser Dateien könnten Informationen an hello_dll@163.com oder hacker117@163.com übertragen. Der Wurm selbst hat Port 10168 abgehört und auf Befehle seines Erstellers gewartet, der über ein Kennwort Zugriff darauf hatte. Bei der Eingabe des richtigen Passworts kopierte sich der Wurm unter dem Deckmantel solcher Dateien in Ordner mit gemeinsamem Netzwerkzugriff:


Als Nächstes überprüfte der Wurm das System auf das Vorhandensein des LSASS.EXE-Prozesses (Authentifizierungsdienst des lokalen Authentifizierungssystems) und stellte eine Verbindung dazu her. Dasselbe tat er mit dem Prozess, der für das Öffnen der Befehlsumgebung auf Port 20168 verantwortlich war, für den keine Authentifizierung erforderlich war.

Der Lovgate-Wurm hat alle Computer im lokalen Netzwerk gescannt und versucht, über den Administrator auf sie zuzugreifen. Zuerst tat er dies mit einem leeren Passwortfeld und wendete dann im Fehlerfall die folgenden einfachen Passwörter an:


Wenn der Zugriffsversuch erfolgreich war, kopierte sich Lovgate unter dem Deckmantel einer stg.exe-Datei in den Ordner \ admin $ \ system32 \.

Zur weiteren Verteilung durchsuchte der Wurm den Ordner „winpath“, die persönlichen Ordner des Benutzers und den Ordner, in dem er gestartet wurde, auf das Vorhandensein von E-Mail-Adressen in Dateien mit der Erweiterung, die mit .ht beginnt (z. B. .html).

Nachwort

Damit ist unsere Reise in die Welt der Malware zu Ende. Obwohl viele der heutigen Exponate eine separate Ausstellung verdienen. Die Welt der Viren, Würmer und Trojaner ist riesig und vielfältig. Es gibt harmlose, die ein Lächeln verursachen, es gibt zerstörerische, die alles stehlen, was ihnen begegnet. Aber beide sind das Ergebnis der Arbeit eines herausragenden Geistes, der nicht aufhört, nach etwas Neuem zu suchen, nicht aufhört zu erforschen. Obwohl diese Menschen ihre Gedanken nicht auf den edelsten Weg gerichtet haben, lehren sie uns dennoch, dass die Grenze niemals erreicht werden wird, wenn wir darüber hinausblicken. Ich bin nicht aufgeregt, Viren zu schreiben. Stehen Sie einfach nicht still, entwickeln Sie sich, erforschen Sie und lassen Sie Ihren Geist niemals an seine Grenzen stoßen. Ich wünsche Ihnen einen schönen Tag und bis bald.

BLACK FRIDAY FORTSETZUNG: 30% Rabatt auf die erste Zahlung auf den BLACK30% Promo-Code bei einer Bestellung von 1-6 Monaten!

Dies sind nicht nur virtuelle Server! Dies sind VPS (KVM) mit dedizierten Laufwerken, die nicht schlechter als dedizierte Server sein können, und in den meisten Fällen - besser! Wir haben VPS (KVM) mit dedizierten Laufwerken in den Niederlanden und den USA (Konfigurationen von VPS (KVM) - E5-2650v4 (6 Kerne) / 10 GB DDR4 / 240 GB SSD oder 4 TB HDD / 1 Gbit / s 10 TB zu einem einzigartig niedrigen Preis - ab 29 USD / Monat verfügbar gemacht (Optionen mit RAID1 und RAID10 sind verfügbar) , verpassen Sie nicht die Gelegenheit, eine Bestellung für einen neuen virtuellen Servertyp aufzugeben , bei dem alle Ressourcen Ihnen gehören, wie bei einem dedizierten Server, und der Preis mit viel produktiverer Hardware viel niedriger ist!

Wie man die Infrastruktur des Gebäudes baut. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent? Dell R730xd 2 mal günstiger? Nur wir haben 2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA!