Logiciel malveillant qui est entré dans l'histoire. Partie III

Le sujet de l'art peut être une image, une sculpture, un poème, une symphonie et même un virus informatique, aussi étrange que cela puisse paraître. Malheureusement, la création de virus de nos jours est lourde de profit de leur création ou de nuire à d'autres. Cependant, à l'aube de la technologie informatique, les auteurs de virus étaient de vrais artistes, dont les couleurs étaient des morceaux de code, savamment mélangés, ils se sont transformés en chef-d'œuvre. Et leur objectif n'était pas d'offenser quelqu'un au point de se déclarer, de faire preuve d'esprit et d'ingéniosité et, parfois, de simplement amuser les gens. Aujourd'hui, nous continuerons de nous familiariser avec diverses créations de rédacteurs de virus, qui d'une manière ou d'une autre méritent notre attention. (Si vous souhaitez vous familiariser avec les parties précédentes, voici les liens: Partie I et Partie II )

Bombe à fourche (Tout ingénieux est simple) - 1969

La bombe à fourche n'est pas un virus ou un ver distinct, mais une famille de logiciels malveillants extrêmement simples. La structure du code de la bombe Fork peut comprendre seulement 5 lignes. L'utilisation de certaines langues pour écrire ce type de logiciel malveillant élimine le besoin d'utiliser des deux-points, des parenthèses et parfois tous les caractères alphanumériques.

Il existe une bombe Fork de manière très simple: pour commencer, le programme se charge lui-même en mémoire, où il crée plusieurs copies de lui-même (généralement deux). De plus, chacune de ces copies crée autant de copies que l'original, et ainsi de suite jusqu'à ce que la mémoire soit complètement pleine, ce qui entraîne un plantage du système. Selon l'appareil, ce processus prend de quelques secondes à plusieurs heures.

L'un des premiers cas enregistrés de la bombe Fork est son apparition sur l'ordinateur Burroughs 5500 de l'Université de Washington en 1969. Ce malware a été nommé RABBITS. En 1972, l'auteur du virus Q The Misanthrope a créé un programme similaire en BASIC. C'est drôle qu'en ce moment, l'auteur était en 7e année. Il y avait aussi un cas dans une entreprise inconnue, en 1973, lorsque leur IBM 360 était infecté par le programme du lapin. En conséquence, un jeune employé accusé de propagation du virus a été licencié.

Cascade (tombant) - 1987

L'un des virus les plus drôles de son époque. Pourquoi découvrons-nous plus loin.

Lorsque le virus est entré dans le système et s'est activé, il a tout d'abord vérifié la présence de la ligne «COPR. IBM. " S'il y en avait un, le virus aurait dû s'arrêter et NE PAS infecter cette machine, mais en raison d'une erreur dans le code du virus, l'infection s'est quand même produite. Ensuite, Cascade est devenu résident en mémoire. Le virus a infecté n'importe quel fichier .com lors de son lancement. Cascade a remplacé les 3 premiers octets du fichier par du code qui a conduit au code du virus lui-même.

Et maintenant pour les résultats du virus. Ils prennent effet si le fichier infecté est lancé du 1er octobre au 31 décembre 1988. Tous les caractères sur l'écran DOS ont simplement commencé à tomber au hasard, littéralement, sur l'écran. C'est pourquoi le virus a été nommé Cascade (cascade). Parfois, en même temps, certains sons étaient reproduits.

Après leur propagation dans le monde, de nombreuses variantes de Cascade sont apparues - environ 40. Certaines d'entre elles ont été créées par l'auteur précédent dans l'espoir de corriger un bogue avec la reconnaissance du droit d'auteur IBM, cependant, ces variantes de virus ont continué à infecter avec succès les systèmes informatiques géants. D'autres options au lieu d'une cascade de caractères ont conduit au formatage des disques durs ou contenaient simplement une sorte de message. En tout cas, c'était le virus Cascade original dont beaucoup se souvenaient.

C'est drôle que l'auteur ait essayé d'éviter d'infecter les ordinateurs IBM, mais en même temps, non seulement ceux-ci étaient infectés, mais tout le bureau en Belgique a été victime. En conséquence, IBM a rendu public son antivirus, qui n'était auparavant utilisé qu'au sein de l'entreprise.

On ne sait rien sur l'origine du virus et son auteur. Il y a des spéculations que Cascade a été écrit par quelqu'un d'Allemagne ou de Suisse.

Eddie (sanctifié soit ton nom) - 1988

L'un des premiers virus bulgares et la première création de Dark Avenger, qui est devenu extrêmement célèbre non seulement grâce à ses virus, mais aussi au soi-disant Dark Avenger Mutation Engine (à ce sujet un peu plus tard). Dark Avenger a nommé son virus en l'honneur du symbole du groupe Iron Maiden - un squelette nommé Eddie.

Après être entré dans l'ordinateur, le virus est devenu un résident de la mémoire. Les victimes de l'infection étaient des fichiers .com et .exe. Dans le même temps, il n'était pas nécessaire d'exécuter ces programmes pour l'infection, il suffisait de les lire simplement (copier, déplacer, vérifier le contenu du fichier). Il y avait également un risque d'infection par un logiciel antivirus, ce qui pourrait entraîner l'infection de tout fichier analysé par ce logiciel. Après chaque 16e infection, le virus a réécrit un secteur aléatoire.


Qui est l'auteur de certains d'entre eux est encore inconnu. Options d'Eddie sortant du stylo Dark Avenger:

• Eddie.V2000 - contenait les "messages" suivants: "Copiez-moi - je veux voyager"; «© 1989 par Vesselin Bontchev.»; "Seuls les bons meurent jeunes ..."
• Eddie.V2100 - contenait les mots «Eddie vit» et, s'il y avait un virus Anthrax dans le dernier secteur du disque, le transférait à la table de partition, restaurant ainsi le virus.

Eddie a longtemps conservé le statut de virus Volgar le plus répandu, alors qu'il était enregistré en Allemagne de l'Ouest, aux États-Unis et en URSS.

Père Noël (Ho-ho-ho) - 1988

Peu avant Noël (catholique) en 1988, le ver du Père Noël a commencé son voyage à travers DECnet (une première version d'Internet, disons-le). Le lieu de naissance du ver est considéré comme l'Université de Neuchâtel en Suisse.

Le fichier HI.COM agissait comme un ver qui se copiait d'un nœud DECnet à un autre. Il a ensuite tenté de se lancer à l'aide de l'objet de tâche 0 (un programme qui vous permet d'effectuer des actions entre deux ordinateurs connectés) ou via un identifiant et un mot de passe DECnet. Si le lancement échoue, le ver supprime son fichier HI.COM du système de la victime. En cas de succès, le ver est chargé en mémoire, après quoi il utilise le processus MAIL_178DC pour supprimer le fichier HI.COM. Le ver envoie ensuite la bannière SYS $ ANNOUNCE à 20597 :: PHSOLIDE, après quoi il vérifie l'horloge système. Si le temps d'infection se situe entre 00:00 et 00:30 le 24/12/1988, le ver crée une liste de tous les utilisateurs du système et leur envoie ses copies. Si l'infection est survenue après 00h30 de la date ci-dessus, le ver a simplement cessé d'être actif.

À la recherche d'une nouvelle victime, le ver a généré aléatoirement un nombre compris entre 0 et 63 * 1024. Une fois le numéro approprié trouvé, il a copié le fichier HI.COM dans l’eau de la victime. Après 00h00 le 24/12/1988, la distribution n'a pas eu lieu.

Le père Noël a également affiché un message (très sympathique, si je peux dire à propos des logiciels malveillants, personnage):

"De: NODE :: Père Noël 24-DEC-1988 00:00
À: Vous ...
Subj: Carte de Noël.

Salut

Comment ça va? J'ai eu du mal à préparer tous les cadeaux. Il
n'est pas tout à fait une tâche facile. Je reçois de plus en plus de lettres de
les enfants chaque année et ce n'est pas si facile d'obtenir le terrible
Rambo-Guns, Tanks and Space Ships up up at the
Northpole. Mais maintenant, la bonne partie arrive. Tout distribuer
les cadeaux avec mon traîneau et les cerfs sont vraiment amusants. Quand je
glisser le long des cheminées, je trouve souvent un petit cadeau offert par
les enfants, ou même un peu de Brandy du père. (Ouais!)
De toute façon, les cheminées se resserrent de plus en plus
année. Je pense que je vais devoir recommencer mon régime. Et après

Noël j'ai mes grandes vacances :-).

Maintenant, arrêtez l'informatique et passez un bon moment à la maison !!!

Joyeux noel
et bonne année

Votre Père Noël »

Le Père Noël n'est pas devenu un conquérant du monde, il n'a infecté que 6 000 machines et seulement 2% d'entre elles ont activé le ver. Cependant, il y a un fait curieux: un ver de Suisse a atteint le Goddard Space Flight Center dans une banlieue de Washington en seulement 8 minutes.

Le créateur d'un tel ver inhabituel et chronologiquement attaché n'a jamais été trouvé. On sait seulement qu'un ordinateur a été utilisé depuis l'université, auquel de nombreuses personnes avaient accès.

Islandais (Eyjafjallajökull) - 1989

Le premier virus qui infectait uniquement un fichier .exe sur un système DOS. Lieu de naissance - Islande.

L'islandais a atteint l'ordinateur sous la forme d'un fichier .exe, au lancement duquel le virus s'est vérifié dans la mémoire du système. S'il n'y en avait pas de copie, le virus est devenu résident. Il a également modifié certains blocs de mémoire afin de cacher sa présence. Cela pourrait entraîner un plantage du système si le programme tentait d'écrire sur ces mêmes blocs. Le virus a ensuite infecté chaque dixième fichier exécutable, ajoutant son propre code à la fin de chacun. Si le fichier était en lecture seule, l'Islandais supprimerait son code.

Si l'ordinateur utilise des disques durs de plus de 10 mégaoctets, le virus sélectionne la zone FAT non utilisée et la marque comme défectueuse. Cette opération a été effectuée à chaque fois qu'un nouveau fichier était infecté.

Il y avait aussi plusieurs variétés d'islandais, qui différaient les unes des autres par certaines fonctions et propriétés:

• Islandais.632 - infecté tous les trois programmes. Marqué comme un cluster cassé sur le disque, s'il était supérieur à 20 mégaoctets;
• Icelandic.B - a été amélioré pour compliquer la détection par certains antivirus, il n'a effectué aucune action autre que la distribution;
• Icelandic.Jol est une sous-variante de Icelandic.B, qui a affiché le 24 décembre un message dans le islandais «Gledileg jol» («Joyeux Noël»);
• Icelandic.Mix1 - découvert pour la première fois en Israël, a provoqué une distorsion des caractères lors de leur transmission à des périphériques série (par exemple, des imprimantes);
• Icelandic.Saratoga - avec une probabilité de 50%, il a infecté un fichier en cours d'exécution.

Diamant (brillant comme un diamant) - 1989

Un autre virus de Bulgarie. On suppose que son auteur est Dark Avenger, car ce virus a beaucoup de points communs avec sa première création, Eddie.

Lorsqu'un programme infecté était lancé, le virus pénétrait la mémoire, occupant 1072 octets. Le virus a vérifié les programmes qui avaient interrompu les moniteurs 1 ou 3. S'il y en avait, cette vérification a provoqué le gel du système et le virus ne pouvait plus se répliquer. Au cas où il n'y aurait pas de tels programmes, Diamond a rejoint un programme en cours d'exécution pesant moins de 1024 octets. Pendant le processus d'infection, le virus a évité le fichier COMMAND.COM. Toujours dans le virus lui-même, il a été possible de détecter une ligne qui facilite son identification - «7106286813».

Le diamant est devenu l'ancêtre de plusieurs de ses variantes, qui différaient par le type d'effet sur le système infecté et la méthode de propagation et d'infection:

Rock stable

Virus de 666 octets qui n'est pas devenu un résident de la mémoire si l'infection s'est produite le 13 de chaque mois. Au lieu de cela, il a formaté les 1 à 10 premiers secteurs sur le premier disque dur. Après cela, j'ai écrasé les 32 premiers secteurs du lecteur C: avec des données indésirables et redémarré le système. Il a été découvert pour la première fois à Montréal (Canada).

La façon dont le fichier a été infecté était assez curieuse. Pour commencer, Rock Steady a vérifié le «poids» du fichier: moins de 666 octets (pour n'importe quel format) et plus de 64358 octets (pour les fichiers .com). Ensuite, le virus a vérifié si les noms de fichiers commencent par les lettres «MZ» et «ZM», après quoi ils les ont changés de «ZM» en «MZ» et vice versa. Le virus a également modifié la valeur à 60 et a supprimé son «poids» de 666 octets de la taille du fichier infecté.

David

Peut-être venait d'Italie. Il a été vu pour la première fois en mai 1991. La première version de ce virus ne pouvait pas infecter les fichiers .exe, mais sa sous-version, publiée en octobre 1992, avait déjà cette possibilité. Cela a conduit à un crash système fréquent lorsque le fichier .com a été exécuté, tandis que pendant l'infection, le virus n'a pas évité le fichier COMMAND.COM, comme l'original. Si le fichier .exe infecté a été lancé mardi, le virus a formaté les disques. Également affiché à l'écran une balle de ping-pong sautante et un message comme suit:

© David Grant Virus Research 1991 PCVRF Disribuite ce virus
librement !!! ... ah ... John ... Va te faire foutre!

Dommages

Il y a une opinion que ce virus a été créé par celui qui a écrit David, puisque Damage a également été trouvé en mai 1991, également en Italie. Le virus a infecté le fichier, dont la taille dépassait 1000 octets, sans pour autant éviter le fichier COMMAND.COM. Si l'horloge du système indiquait 14:59:53, un diamant multicolore est apparu à l'écran, qui s'est divisé en petits diamants, ce qui a supprimé des caractères de l'écran. Les phrases «Damage» (pour lesquelles il a obtenu son nom) et «Jump for joy !!!» ont été trouvées dans le code du virus.

Lucifer

Un autre virus d'Italie, découvert en mai 1991. Le fichier a infecté plus de 2 kilo-octets, y compris COMMAND.COM. Si l'horodatage du fichier était 12h00 avant l'infection, le virus disparaît après l'infection.

Greemlin

Oh, cette Italie, oh, en mai 1991. Ce virus vient aussi de là. Ralentit considérablement le système (d'environ 10%). Le 14 juillet de n'importe quelle année, j'ai réécrit certains secteurs des lecteurs A:, B: et C :.

Il y avait plusieurs autres options, mais leur principale caractéristique était de ne pas vérifier la disponibilité de leurs copies dans les dossiers des victimes, ce qui a conduit à la réinfection de ces derniers.

Alabama (Alabama Shakes) - 1989

Un virus sous le système DOS qui a infecté des fichiers .exe. Lorsqu'un fichier infecté était activé, le virus devenait résident en mémoire. Cependant, contrairement à d'autres virus résidents, l'Alabama n'a pas infecté le fichier lors de son exécution. Le virus a recherché un fichier d'infection dans ce répertoire, et si cela ne fonctionnait pas, il a ensuite basculé vers la méthode d'infection des fichiers activés. Vendredi, au lieu d'infecter des fichiers, le virus a ouvert un fichier arbitraire au lieu de ce que l'utilisateur voulait ouvrir. L'Alabama a affiché un texte clignotant à l'écran une heure après l'infection du système:

COPIES LOGICIELLES INTERDITES PAR LE DROIT INTERNATIONAL ...
Box 1055 Tuscambia ALABAMA USA.

Moteur de mutation Dark Avenger (DAME) - 1991

Ce n'est pas un virus, mais ce module a rendu un certain Dark Avenger, que nous avons mentionné plus tôt, extrêmement célèbre.

Lorsqu'un virus utilisant DAME infectait un fichier, le ransomware donnait le code du virus comme une ordure. Et lorsque le fichier a été ouvert, le décodeur a renvoyé le code du virus à sa forme de travail précédente.

Dark Avenger a également ajouté une archive contenant un module distinct pour générer des nombres aléatoires, ce qui, lorsqu'il est utilisé, aide à la propagation du virus.

Grâce au module DAME, il est devenu beaucoup plus facile pour les auteurs de virus de créer des virus polymorphes, malgré la complexité de l'implémentation du module dans le code du virus d'origine. De plus, l'utilisation du module a permis de créer de nombreuses variantes du même virus. Selon des chercheurs de programmes malveillants, à la fin de 1992, environ 900 000 variétés de variantes de virus utilisaient DAME.

Vaisseau spatial (de retour en URSS) - 1991

Nous sommes donc arrivés dans notre pays natal. Le virus Starship a été créé en URSS. Mais ses traits distinctifs ne s'arrêtent pas là.

La méthode d'infection par le virus Starship était très compliquée à une époque et inhabituelle. Ce virus a infecté des fichiers comme .com et .exe. Lorsque ces fichiers se sont ouverts, Starship a infecté l'enregistrement de démarrage principal. Dans le même temps, le virus n'est pas devenu résident en mémoire et n'a pas infecté d'autres fichiers .com et / ou .exe. Starship a modifié trois octets dans des tables de données partitionnées et a injecté son code dans 6 secteurs consécutifs de la dernière piste du disque dur.

Starship a également suivi le nombre de démarrages de l'ordinateur. Lorsque cela s'est produit, le virus s'est chargé dans la mémoire vidéo, où il a été décrypté (en d'autres termes, déployé). Alors qu'il était dans la mémoire vidéo, le virus a violé les interruptions afin de se protéger d'être réécrit sur le disque dur et a attendu la fin du premier programme auquel il est parvenu. Lorsque cela s'est produit, le virus s'est déplacé vers la mémoire principale, où il occupait 2688 octets.

Starship a ensuite infecté les fichiers .com et .exe sur les lecteurs A: et B :. Dans le même temps, il n'a ajouté son code dans le fichier qu'après sa fermeture, compliquant ainsi la détection.

Le résultat du virus était visible après 80 téléchargements d'ordinateurs. Pour les sons mélodiques à l'écran, des pixels colorés ont été affichés, chacun dénotant l'une des connexions aux disques.

Groove ("Quand vous lancez un groove, le temps passe vite") - 1992

Et voici juste le virus qui a utilisé la création Dark Avenger DAME pour le chiffrement (paragraphe 8). Groove a été le premier virus à utiliser le module susmentionné pour infecter des fichiers .exe. Le pays d'origine de ce logiciel malveillant est l'Allemagne, bien qu'il ait réussi à se propager dans le monde entier, atteignant même les États-Unis.

Le virus, après avoir activé le fichier infecté, se trouvait dans la mémoire «haute», en dessous de la limite


Le virus Groove a attaché son code aux fichiers .com et .exe que l'utilisateur a exécutés. Dans le même temps, pour infecter des fichiers .exe, ces derniers devaient être plus petits qu'une certaine taille (malheureusement, je n'ai pas trouvé d'informations sur lequel). L'infection des programmes a entraîné une interruption de leur travail. Et l'infection COMMAND.COM à l'incapacité de démarrer le système.

Après 00h30, le virus a affiché le message:

Ne vous inquiétez pas, vous n'êtes pas seul à cette heure ... Ce
virus n'est PAS dédié à Sara,
il est dédié à son Groove (... C'est mon nom)
Ce virus n'est qu'un virus de test pour
être prêt pour mon prochain test ....

Afin de prolonger son existence, le virus a supprimé ou corrompu des fichiers liés à des programmes antivirus.

La famille de l'inceste de Qark ("nous sommes une famille, j'ai toutes mes sœurs avec moi ...") - 1994

Dans cette section, nous ne considérerons pas un virus, mais toute la «famille» de la paternité de l'écrivain australien Qark, qui a ainsi rejoint le groupe des frères d'armes VLAD (Virus Labs & Distribution). L'activité vigoureuse de Qark dans les rangs de l'organisation tombe sur la période de 1994 à 1997.

Et maintenant plus sur les «membres de la famille» du clan viral.

Papa

En réduisant la taille du MCB (Memory Control Block), mais seulement si ce MCB est le dernier de la chaîne. Le virus peut également créer son propre MCB en définissant la valeur du champ propriétaire (0x0008 - command.com) et rejoindre INT 21h.

Les fichiers sont infectés lorsqu'ils sont ouverts ou lorsque l'utilisateur se familiarise avec leurs données ou propriétés. Papa a également caché la taille de son répertoire d'emplacement à FCB findfirst / findnext. Et les fichiers infectés ont été marqués comme tels en changeant la valeur d'horodatage en valeur d'horodatage.

Papa contenait également les lignes suivantes:

[Papa inceste]
par Qark / VLAD

Momie

Si, sous MS-DOS, aucune extension de fichier n'était spécifiée pour son exécution, les fichiers .COM étaient prioritaires sur les fichiers .EXE. Les fichiers .com infectés ont lancé le virus, puis ouvert les fichiers .exe d'origine. Pour commencer, le virus a lancé les fichiers .exe d'origine, après quoi il est devenu résident en rejoignant INT 21h.

Comme papa, le virus était crypté et utilisait des méthodes similaires pour échapper à la détection. De plus, maman avait un autre mécanisme de furtivité inhabituel: les fichiers compagnons .com ont été créés avec un ensemble caché d'attributs. Lorsque ASCII FindFirst a été lancé, le virus a supprimé la partie cachée du masque d'attribut demandé. Cela a évité de placer des fichiers infectés dans la liste des résultats de la recherche antivirus.

Le code du virus Mummy contenait la signature:

[Mummy Incest] par VLAD de Brisbane.
Race bébé race!

Sœur

Ce virus a utilisé la même méthode de manipulation MCB que papa. Les indicateurs ont été infectés lors des tâches suivantes: ouverture, exécution, Chmod, renommage. Les fichiers infectés ont été marqués en ajoutant la valeur «magique» au format MZ.

Signature dans le code du virus sœur:

[Inceste sœur]
par VLAD - Brisbane, OZ

Frère

Afin de ne pas se répéter, nous disons simplement que ce virus a fait la même chose que les autres représentants de la «famille»: il a changé le MCB, rejoint l'INT 21h. Suppression de la base de contrôle antivirus Central Point Anti-Virus et Microsoft Anti-Virus. Pour marquer les fichiers infectés, définissez la valeur des secondes dans l'horodatage sur 62.

Tentacule (je suis le virus des tentacules!) - 1996

Une autre famille de virus, bien que ses représentants n'aient pas été créés en même temps, mais se sont succédé sous la forme de différentes versions mises à jour. Les pays d'origine possibles de ce virus peuvent être considérés comme la Grande-Bretagne ou la France.

Après avoir activé le fichier infecté, le virus a commencé à rechercher dans l'environnement du répertoire actuellement ouvert et dans l'environnement de répertoire Windows. Le but des recherches est les fichiers .exe. Dans le répertoire ouvert, 1 fichier a été infecté, sous Windows - 2. L'opération virale a endommagé certains fichiers.

Une caractéristique distinctive du virus Tentacle était le remplacement de l'icône du fichier infecté par le sien (voir l'image ci-dessous), mais uniquement si l'infection s'est produite de 00h00 à 00h15.

Dans le code du virus, on pouvait également trouver la phrase:

Alerte virus! Ce fichier est infecté par Win.Tentacle

CAP (Dios y Federacion) - 1996

Virus macro sous Word écrit par Jacky Qwerty du Venezuela. Cependant, quelques semaines plus tard, il s'est répandu dans le monde entier.

Le virus contenait de 10 à 15 macros, selon la version linguistique de Word. Si la langue est l'anglais, les macros étaient les suivantes:

• Casquette
• AutoExec
• AutoOpen
• Fileopen
• Autoclose
• FileSave
• FileSaveAs
• Modèles de fichiers
• OutilsMacro
• Fileclose

Sur d'autres versions linguistiques, le virus a créé 5 autres macros supplémentaires, qui étaient des copies des cinq derniers de la liste ci-dessus. Lorsqu'un fichier infecté était activé, le virus CAP supprimait les macros de NORMAL.DOT, les remplaçant par les siennes. Mais les boutons Macros, Personnaliser et Modèles ont disparu du menu déroulant. S'il y avait une icône dans la barre d'outils, elle ne fonctionnait plus.

Lors du décryptage des macros, vous pouvez voir le message suivant:

'CAP: Un virus social ... y ahora digital ...
' "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
«Venezuela, Maracay, Dic 1996.
» PD Que haces gochito? Nunca seras Simon Bolivar ... Bolsa!

Espéranto ("J'ai fait un film en espéranto") - 1997

Le premier virus multiprocesseur au monde. Il est paralysé à la fois sur les PC Microsoft Windows et DOS avec des processeurs x86, et sur MacOS avec les processeurs Motorola ou PowerPC.

Travailler sous Windows et DOS

Tout d'abord, après l'activation, le virus a recherché une copie de travail de lui-même en mémoire. S'il n'y en avait pas, il est devenu résident dans la mémoire. Fichiers .com et .exe infectés lors de leur ouverture. Il pourrait également infecter les principaux fichiers DOS, NewEXE et Portable EXE.

Travailler sur MacOS

Pour une infection réussie des fichiers à la fin du code du virus était une ressource MDEF spéciale. Le système d'exploitation interprétera le code Intel comme indésirable et procédera immédiatement au traitement du code Motorola. Cela conduit au fait que le code est exécuté par le système d'exploitation sans émulation, permettant au virus de résider en mémoire. La capacité du virus à s'exécuter sur MacOS avec un processeur PowerPC provient de l'émulation Motorola dans le noyau Macintosh. Étant donné l'infection des fichiers système, le virus a été activé au démarrage du système. L'espéranto a également infecté le Finder, ce qui a entraîné l'infection de tout fichier ouvert via ce programme. Comme avec Windows et DOS, une seule copie du virus peut s'exécuter sur MacOS à la fois.

L'espéranto pourrait facilement passer de Windows à MacOS et vice versa. Pour infecter un ordinateur MacOS via des fichiers .com et .exe, le virus a vidé la ressource MDEF contenant le virus. Et pour infecter les fichiers .com et .exe à partir de fichiers MacOS, le virus a recherché les fichiers exécutables Windows exécutés dans l'émulateur.

Le 26 juillet, le virus a affiché un message (s'il était sur un système Windows 32 bits):

Peu importe votre culture / Ne gravas via kulturo, l'
espéranto ira au-delà / espéranto preterpasos gxin;
peu importe les différences / ne gravas la diferencoj, l'
espéranto les surmontera / espéranto superos ilin.

Peu importe votre processeur / Ne gravas via procesoro, l'
espéranto y travaillera / espéranto funkcios sub gxi;
peu importe votre plateforme / Ne gravas via platformo, l'
espéranto l'infectera / espéranto infektos gxin.

Désormais non seulement un langage humain, mais aussi un virus ...
Transformer l'impossible en possible, espéranto.

Le 26 juillet n'a pas été choisi par hasard, car cette fête est la fête de l'espéranto. Le 26 juillet 1887, Ludwik Lazar Zamenhof a créé un langage universel appelé espéranto.

Gollum ("mes précieux") - 1997

Le virus a été écrit par un espagnol du nom de GriYo, qui a affirmé que sa création était le premier virus hybride DOS / Windows.

Gollum a infecté les fichiers .exe, évitant ceux qui contenaient «v» dans leur nom ou commençant par «TB», évitant ainsi le contact avec les programmes antivirus.

Lors de la première activation, le virus a introduit le fichier GOLLUM.386 dans le dossier système. Et la ligne DEVICE = GOLLUM.386 a été ajoutée au fichier system.ini. Ce module complémentaire a permis au virus de s'exécuter à chaque démarrage.

Après le premier redémarrage, Gollum est devenu résident en mémoire sous l'apparence d'un pilote de périphérique virtuel. Lorsque le fichier .exe est activé à partir de la fenêtre DOS, le virus a attaché son code à ce fichier, l'infectant ainsi.

Le résultat du virus Gollum a été la suppression des bases de données de certains programmes antivirus et l'introduction du cheval de Troie GOLLUM.EXE dans le système.

Le texte suivant peut également être détecté dans le code de virus:

GoLLuM ViRuS par GriYo / 29A
Au fond de l'eau sombre vivait le vieux
Gollum, une petite créature visqueuse. Je ne sais pas d'
où il venait, ni qui ni quoi il était.
Il était un Gollum - aussi sombre que l'obscurité, à l'exception
de deux grands yeux ronds pâles pâles dans son visage mince.
JRR ToLkieN ... Le HoBBit

Ceci est un extrait du livre "The Hobbit" de J.R. R. Tolkien, qui décrit une créature nommée Gollum, qui est également familière à beaucoup des livres du Seigneur des Anneaux, ainsi que des adaptations de Peter Jackson. C'est cette créature qui a donné son nom au virus lui-même.

Babylonie (coquillage) - 1999

Virus brésilien du stylo écrivain de virus Vecna ​​qui a infecté des fichiers .exe sur des ordinateurs exécutant Windows 9x.

Après extraction, le virus n'est pas devenu immédiatement actif; pour commencer, il a corrigé JMP ou CALL et attendait un appel. Le virus a analysé le noyau du système d'exploitation, recevant les adresses de la fonction API Windows et s'est installé sous l'apparence d'un pilote système VxD.

Le virus a alloué une certaine quantité de mémoire, établissant une liaison dans le gestionnaire IFS. Après quoi, je m'attendais à accéder à l'aide, aux fichiers exécutables portables et aux fichiers WSOCK32.DL. De plus, le virus Babylonia a analysé le système à la recherche des bibliothèques antivirus téléchargées SPIDER.VXD et AVP.VXD. S'il y en avait, le virus les a corrigés, ce qui leur a empêché d'ouvrir des fichiers.

Lorsque le virus Babylonia infecte un exécutable portable, il s'attache au dernier secteur ou écrase la section .reloc. La section CODE sera également analysée pour l'espace disponible pour passer un appel au virus. Les fichiers d'aide sont infectés en passant le contrôle du code du virus via la fonction de rappel de l'API USER32 EnumWindows.

Le virus s'est propagé par courrier électronique. Tout d'abord, il a ajouté son code à la fonction send () dans WSOCK32.DLL. Cela a conduit au fait que dans toutes les lettres que l'utilisateur a envoyées depuis la machine infectée, il y avait des fichiers joints infectés par un virus appelé X-MAS.exe avec une icône de Noël.

Les versions ultérieures de Windows n'ont pas pu être infectées, car Babylonia avait des appels VxD spécifiques exclusivement pour Windows 9x.

Le virus Babylonia pourrait être mis à jour à l'aide du module de mise à jour en ligne. Ce module se trouvait dans le dossier Système Windows sous le nom KERNEL32.EXE, qui a été lancé au démarrage du système lui-même. En outre, il ne pouvait pas être vu dans la liste des tâches via CTRL + ALT + SUPPR.

Bien que le virus Babylonia ne se soit pas propagé à grande échelle et ne soit pas devenu une menace mondiale, les méthodes de son module de propagation, d'infection et de mise à jour ont permis à ce virus de gagner en popularité.

Je n'ai pas trouvé de données concernant le nom de ce virus. Cependant, Babylonia est le nom du genre des gastéropodes marins. On peut également supposer que le nom du virus vient du mot "Babylone" (Babylone est une ville de l'ancienne Mésopotamie).

Bon sang (sacrément, virus à nouveau) - 2000

Un virus pour les systèmes de la série Windows 9x originaire de Russie.

Une fois activé, le virus s'est chargé en mémoire, après quoi il a infecté les fichiers .exe activés, en y ajoutant son propre code.


Tout dans le même but - pour se cacher - le virus a supprimé les pilotes antivirus VxD AVP et Spider. Également évité la détection par le débogueur Soft-Ice de Microsoft.

Chaque mois, le premier jour, le virus a masqué toutes les icônes du bureau en ajoutant la valeur "1" à "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop".

Les éléments suivants ont pu être détectés dans le code du virus Dammit:

DAMMiT par ULTRAS [MATRiX]
© 2000

Où ULTRAS est l'auteur du virus et MATRiX est le journal des auteurs de virus, où le code de ce virus a été publié.

Blebla ("Car jamais n'a été une histoire de plus de malheur que celle de Juliette et de son Roméo") - 2000

Postworm de Pologne écrit en Delphi. Il est devenu l'un des premiers vers pouvant être activés sans l'intervention d'un utilisateur d'une machine infectée. Également connu sous le nom de Vérone ou Roméo et Juliette.


Dans cette lettre, il y avait 2 fichiers joints Myjuliet.chm et Myromeo.exe. Le texte de la lettre lui-même contenait du HTML, qui enregistrait les fichiers joints dans le dossier Temp de Windows et lançait Myjuliet.chm. Ce dernier, à son tour, a extrait la partie principale du ver du fichier Myromeo.exe.

Myromeo.exe lance la tâche Roméo et Juliette, visible dans la liste des tâches. Il recherche un processus appelé HH.exe qui traite les fichiers .chm et essaie de le désactiver afin d'éviter d'avertir l'utilisateur de sa présence.

Ensuite, le ver se propage à travers six serveurs de messagerie situés en Pologne (aucun d'entre eux ne fonctionne déjà):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

Le ver possède également son propre moteur SMTP, qui tente d'établir une connexion avec l'un des serveurs ci-dessus pour envoyer un e-mail avec des fichiers MIME joints.

Malgré le fait que le ver n'a pas causé beaucoup de mal, il a reçu beaucoup de publicité dans les médias.

YahaSux / Sahay (je ne t'aime pas) - 2003

Parmi les auteurs de virus ont également leurs propres Mozart et Salieri. Ils sont tout aussi brillants, et autant ils ne s'aiment pas. Le ver YahaSux est la création de Gigabyte, qui n'a apparemment pas aimé l'auteur du ver Yaha.

La victime a reçu un e-mail sur le sujet «Fw: Asseyez-vous et soyez surpris ...» avec le contenu suivant:

Pensez à un nombre compris entre 1 et 52.
Dites-le à haute voix et continuez à répéter pendant que vous lisez la suite.
Pensez au nom de quelqu'un que vous connaissez (du sexe opposé).
Maintenant, comptez quelle place dans l'alphabet contient la deuxième lettre de ce nom.
Ajoutez ce nombre au nombre auquel vous pensiez.
Dites le chiffre à haute voix 3 fois.
Comptez maintenant la place dans l'alphabet de la première lettre de votre prénom, et
soustrayez ce numéro de celui que vous venez d'avoir.
Dites-le à haute voix 3 fois.
Maintenant, asseyez-vous, regardez le diaporama ci-joint et soyez surpris.

Ce fichier joint à la lettre était l'économiseur d'écran MathMagic.scr. Après avoir activé le fichier ver, sa copie et les fichiers exécutables du ver Yaha nav32_loader.exe se trouvent dans le dossier système. Si la recherche n'a donné aucun résultat, YahaSux se copie dans un dossier sous l'apparence d'un fichier winstart.exe.

De plus, la lutte contre le Yaha détesté est devenue encore plus amusante. YahaSux a tenté d'interrompre un processus appelé WinServices.exe (ou WINSER ~ 1.EXE), qui était lié à Yaha.K. Fichiers exécutables Yaha.K supprimés du registre des clés, en restaurant sa valeur d'origine. De plus, des modifications ont été apportées à la connexion WinServices (la valeur a été définie comme suit: Default = (répertoire système) \ winstart.exe), ce qui a permis au ver de démarrer automatiquement lorsque le système était allumé.

YahaSux a également créé le fichier yahasux.exe dans le dossier système et dans le dossier de téléchargement Mirc. Il s'est attaché à tous les fichiers .exe dans le dossier mirc \ download dans les Program Files, et en racine sur le lecteur C: il a ajouté le fichier MathMagic.scr.

Le ver s'est propagé en s'envoyant à tous les destinataires de la liste du carnet d'adresses Outlook.

Après 40 secondes d'activité, le système PC infecté s'arrête. Après avoir redémarré et supprimé un autre fichier lié à Yaha.K - tcpsvs32.exe, le ver YahaSux a affiché la fenêtre suivante avec le message:



Pourquoi Gigabyte, l'auteur de YahaSux, n'aime-t-il pas tant le ver Yaha.K et son auteur? Le fait est que Yaha.K a changé la page d'accueil d'Internet Explorer en coderz.net, qui hébergeait les pages Web de Gigabyte lui-même. Tout cela a conduit à la chute du serveur coderz.net.

Dans sa nouvelle version de Yaha.Q, dans le code, l'auteur a laissé un message à son rival:

en gigaoctets: chALES pAL, CONSERVEZ LE G00d w0rK..buT W32.HLLP.YahaSux est ... lolz;)

Telle est la lutte des intelligences.

Lovgate (Ouvre-moi, je ne suis pas un ver. #Wink) - 2003

Un ver de Chine qui possédait les propriétés d'un cheval de Troie.


Après l'activation, le ver s'est copié dans le dossier système Windows sous le couvert d'un des fichiers:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

Afin de se permettre de démarrer en même temps que le système, le ver a agi en fonction de la version du système.

Windows 95, 98 ou ME

La ligne run = rpcsrv.exe a été ajoutée au fichier Win.ini. S'il y avait des registres sur le système, les valeurs «syshelp =% system% \ syshelp.exe», «WinGate initialize =% system% \ WinGate.exe -remoteshell» et «Module Call initialize = RUNDLL32.EXE ont été ajoutées à la clé de registre de la machine locale» reg.dll ondll_reg ".

La valeur «winrpc.exe% 1» a également été ajoutée au registre de clés afin que le ver puisse être lancé à chaque fois que l'utilisateur ouvre un fichier texte.

Windows 2000, NT ou XP

Le ver s'est copié dans le dossier système sous l'apparence d'un fichier ssrv.exe et a ajouté la valeur «run = rpcsrv.exe» au registre des clés de la machine locale.

Ajout également du registre de clés de la machine locale Software \ KittyXP.sql \ Install.

Après ces actions, le ver a introduit dans le dossier système, puis activé, les fichiers suivants, qui sont ses composants cheval de Troie: ily.dll; task.dll; reg.dll; 1.dll.

Certains de ces fichiers pourraient transmettre des informations à hello_dll@163.com ou hacker117@163.com. Le ver lui-même écoutait sur le port 10168, attendant les commandes de son créateur, qui y avait accès via un mot de passe. En entrant le mot de passe correct, le ver s'est copié dans des dossiers avec un accès réseau partagé sous le couvert de tels fichiers:


Ensuite, le ver a analysé le système pour la présence du processus LSASS.EXE (service d'authentification du système d'authentification local) et s'y est connecté. Il a fait de même avec le processus responsable de l'ouverture de l'environnement de commande sur le port 20168, qui ne nécessitait pas d'authentification.

Le ver Lovgate a analysé tous les ordinateurs du réseau local, essayant d'y accéder via l'administrateur. Tout d'abord, il l'a fait avec un champ de mot de passe vide, puis, en cas d'échec, a appliqué les mots de passe simples suivants:


Si la tentative d'accès a réussi, Lovgate s'est copié sous l'apparence d'un fichier stg.exe dans le dossier \ admin $ \ system32 \.

Pour une distribution ultérieure, le ver a analysé le dossier «winpath», les dossiers personnels de l'utilisateur et le dossier où il a été lancé, pour la présence d'adresses e-mail dans les fichiers avec l'extension commençant par .ht (par exemple, .html).

Épilogue

Notre voyage dans le monde des logiciels malveillants a donc pris fin. Bien que de nombreuses expositions d'aujourd'hui méritent une exposition distincte. Le monde des virus, vers et chevaux de Troie est immense et diversifié. Il y a des inoffensifs, provoquant un sourire, il y a des destructeurs, volant tout ce qu'ils rencontrent. Mais les deux sont le résultat du travail d'un esprit exceptionnel, qui ne cesse de chercher quelque chose de nouveau, ne cesse d'explorer. Bien que ces personnes n'aient pas dirigé leur esprit vers le chemin le plus noble, elles nous enseignent toujours que la limite ne sera jamais atteinte si nous regardons au-delà. Je n'agite pas pour écrire des virus. Ne restez pas immobile, développez, explorez et ne laissez jamais votre esprit atteindre les limites. Passez une bonne journée et à bientôt.

BLACK FRIDAY CONTINUE: 30% de réduction sur le premier paiement sur le code promo BLACK30% lors d'une commande de 1 à 6 mois!

Ce ne sont pas que des serveurs virtuels! Ce sont des VPS (KVM) avec des disques dédiés, ce qui ne peut pas être pire que des serveurs dédiés, et dans la plupart des cas - mieux! Nous avons créé VPS (KVM) avec des disques dédiés aux Pays-Bas et aux États-Unis (configurations VPS (KVM) - E5-2650v4 (6 cœurs) / 10 Go DDR4 / 240 Go SSD ou 4 To HDD / 1 Gbit / s 10 To disponibles à un prix unique - à partir de 29 $ / mois , des options avec RAID1 et RAID10 sont disponibles) , ne manquez pas la chance de passer une commande pour un nouveau type de serveur virtuel, où toutes les ressources vous appartiennent, comme sur un serveur dédié, et le prix est beaucoup plus bas, avec un matériel beaucoup plus productif!

Comment construire l'infrastructure du bâtiment. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou? Dell R730xd 2 fois moins cher? Nous avons seulement 2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV à partir de 249 $ aux Pays-Bas et aux États-Unis!