VirusHunter avertizează utilizatorii de PC-uri despre răspândirea virusului Win32.HLLP.HiDrag fișier (aka Win32.Hidrag.a. Jeefo.A), lovind un Win32-program și economizoare de ecran.
Descrierea detaliată a virusului Win32.HLLP.HiDrag.
1. Surse de intrare în mașină.
Principala sursă de distribuție a acestui virus sunt, ca de obicei, rețelele de schimb de fișiere. Virusul poate intra în directorul de pe programele de mașini de partajare a fișierelor, cum ar fi sub masca de programe „utile“, sau pur și simplu în software-ul infectat distribuții software, a trimis prietenii sau cunoscutii. Din păcate, cei mai mulți oameni sunt greu de ignorat software anti-virus sau pur si simplu nu se actualizează baza de date a virusului, rezultând într-o „trezi“ virusul de la intrarea in masinile lor. Ca rezultat, computerele infectate au devenit motive de reproducere pentru viruși la zeci sau chiar sute de alte calculatoare. Discurile CD / DVD înregistrate pe astfel de mașini "curate" pot reprezenta, de asemenea, un potențial pericol, deoarece Este evident că printre fișierele scrise pe ele (discuri) va fi infectată. Nu este exclus, de asemenea, o oportunitate de a prinde virusul în cazul în care îl utilizați pentru unitățile de transfer / stocare flash (memorie flash USB de stocare) sau dischete.
2. Instalarea în sistem.
Win32.HLLP.HiDrag este programul Windows-rezident (așa-numitul PE EXE-fișier care conține în antet etichetă „PE“, acestea includ programul cu cod pe 32 de biți scrise în limbaje de nivel înalt, cum ar fi, de exemplu, , C ++ Builder, Borland Turbo Pascal (Delphi) etc. create pentru a lucra în mediul Windows). Este disponibil în toate sistemele de operare Windows actuale.
Win32.HLLP.HiDrag cod de program protejat criptă-cod, care se află la începutul virusului cu ajutorul unei proceduri de decriptare special încorporat direct în memoria aparatului, fără a crea orice fișiere temporare.
Schematic, structura codului virusului este după cum urmează:
După cum puteți vedea din diagrama, corpul Win32.HLLP.HiDrag constă din două părți - codul principal și o secțiune suplimentară, în care virusul poate stoca informațiile de serviciu. Dimensiunea secțiunii suplimentare este de aproximativ 3% din dimensiunea totală a corpului viral.
Win32.HLLP.HiDrag se poate instala în sistem în două moduri, în funcție de care a făcut primul fișier de pornire a fost într-o mașină curată - de fapt, care conține doar programul virusul original sau infectate.
Atunci când un fișier infectat, virusul stabilește termenii directorul funcției% windir% în care ați instalat de sistem de operare Windows (de obicei, un C: \ Windows, astfel încât în cele ce urmează voi referi la directorul) si se copiaza la el sub numele
Acest fișier are următoarele caracteristici speciale:
Fișierul svchost.exe rămâne rezident în memoria computerului până la oprirea Windows. Pentru a putea activa acest fișier de fiecare dată când sistemul este pornit, virusul creează o cheie numită "PowerManager" în Registrul sistemului autorun:
Dacă o mașină de lansare curat prima de virus produs dintr-un fișier care conține doar codul virusului (de exemplu, dintr-un fișier svchost.exe identic. Dar, de exemplu, sub numele zastavka.scr sau oricare altele.), Instalarea Win32. HLLP.HiDrag efectuată după cum urmează: virusul citește numele unui fișier virus care rulează și creează registrul cheie de registru de sistem sub numele de „PowerManager“ următoarele:
unde% path% este locația fișierului virus care rulează și numele.ext este numele acestuia. Astfel, rolul componentei svchost.exe de rulare efectuează un fișier de utilizator cu programul virusul original. Fișierul svchost.exe nu este creat în directorul de sistem. În cazul în care, în viitor, vor fi difuzate oricare dintre fișierele infectate, svchost.exe va fi creat în directorul de sistem, dar virusul nu adăugați la cheia de registry și un activ suplimentar va rămâne fișierul de mai sus.
3. infectarea fișierelor.
După instalarea în sistem, virusul așteaptă câteva minute, fără a efectua nicio acțiune pentru a-și ascunde prezența în sistem și nici o activitate vizibilă. Apoi începe căutarea și infectarea fișierelor PE EXE- (programe) și SCR- (screen savers). Acest proces are loc în conformitate cu următoarea schemă: în primul rând, virusul caută 6 fișiere ale formatelor specificate în directorul de sistem rădăcină, adică
Apoi oprește procesul de căutare și infectare a fișierelor, așteaptă 5-10 minute și infectează încă 6 fișiere, apoi așteaptă din nou intervalul de timp specificat și reia această procedură.
Imediat trebuie remarcat faptul că virusul alege să infecteze numai acele fișiere care sunt mai mari decât aproximativ 110 KB, iar restul nu se ating. Înainte de a infecta fiecare fișier pentru a ascunde prezența în sistem, virusul citește (fișierul) atributele, data și ora modificării, infectează un fișier, și apoi atribuie datele originale înapoi. Ca urmare, sistemul nu înregistrează datele fișierele infectate sunt modificate, care de căutare vizuală dificilă a acestuia din urmă face.
Când toate fișierele relevante sunt infectate în directorul rădăcină al C: \ WINDOWS, virusul trece la infecția din schema de mai sus în următoarele subdirectoare ale directorului de sistem:
pentru Windows 9X / ME:
C: \ WINDOWS \ SISTEM \
pentru Windows 2K / XP:
C: \ WINDOWS \ SYSTEM32 \
inclusiv fișiere și în toate subdirectoarele de date de director. Ulterior, virusul continuă să infecteze fișierele din toate subdirectoarele din directorul de sistem
În ceea ce privește infectarea altor fișiere în alte foldere raspololozhennyh unitate de sistem, precum și altele. Mașini de unități logice, inclusiv rețeaua, deschisă accesului total sau parțial, acesta se produce în funcție de unele contoare interne virusul. Din acest motiv, fișierele de pe astfel de discuri pot rămâne curate timp de ceva timp.
Când caută noi fișiere pentru a infecta, controalele virusului pentru prezența codului: compară codul de bază al fișierului instalat cu conținutul inițial al unui fișier-o „victimă“ în sistem, astfel încât fiecare fișier infectat conține doar o copie a virusului. Când executați un fișier infectat, virusul a îl tratează mai întâi, și apoi se execută (acest detaliu va spune în continuare).
4. Principiul infectării dosarelor.
In timp ce infectarea fișierelor virusul ocoleste atributul „read only“ ( „read only“) și folosește un algoritm destul de complex scrie codul lor în fișiere. În acest caz, se aplică metoda utilizată în momentul în virusurile vechi de fișier HLLP-familie (Programul de limbaj de nivel înalt): supra-scrieri găsit EXE- sau SCR-fișier propriul său cod, care se atașează la sfârșitul codului programului inițial. Cu toate acestea, virusul nu înregistrează doar corpul în fața codului de program original și reconstruiește cele mai recente, schimbarea acesteia ordinea secțiunilor logice și criptarea titlul, prima și una din secțiunea centrală. Schema arata astfel:
În secțiunea sa suplimentară, în loc de semnături digitale false Microsoft, virusul scrie datele de servicii care conțin informații cu privire la locația originală peretusovannyh secțiuni ale programului inițial, precum și un pointer la ultima dintre aceste secțiuni care au fost criptate. Datele introduse în secțiunea suplimentară, virusul criptează, de asemenea.
Trebuie remarcat faptul că procedura de reconstrucție a fișierului original și apoi criptate secțiunile sale efectuate într-un mod profesionist, prin care dimensiunea programului original nu este modificat după infecție, iar totalul crește dimensiunea fișierului ușor la 36352 bytes (adică, numai pe dimensiunea corpului viral ).
Când fișierul infectat este lansat, copia de virus stocată în acesta verifică dacă virusul a fost instalat în sistem, după care se fac următoarele lucruri:
- Managementul devine sub copia noastră de fișier al virusului, care se referă la fișierul svchost.exe WINDOWS \, și îl face o subrutină specială, după care fișierul infectat este finalizat;
- a primit un apel de la copia sa a fișierului infectat, virusul svchost.exe (în continuare „Virus“) citește (fișier infectat) locația și stochează informațiile din memoria sistemului ca o variabilă A;
- conform datelor de variabile Un virus este fișierul nostru de infectat, decriptează și citește din aceasta bucata de cod care conține schema inițială a programelor de reconstrucție după infecție, și stochează datele în memoria sistemului ca variabilă B;
- atunci virusul citește caracteristicile fișierului infectat (atributele acestuia, data și ora modificării) și stochează aceste date în memoria sistemului ca o variabilă C;
- Virusul șterge apoi copia sa din fișierul nostru infectat, precum și bloca sistemul acesta (fișier) remodeleze, apoi, ghidat de datele variabilei B, decriptează omletă de blocuri de fișiere infectate, și apoi rearanjează toate blocurile de fișiere în vizualizarea originală, pe care el (fișier ) au avut înainte de infecție;
- și ultimul, ceea ce face virusul - este atribuit fișierului corespunzător caracteristicilor care citește din variabila C, scoateți variabilele de memorie A, B, C, și resalvați fișierul, și apoi se execută.
Această metodă de tratare a virusului de către virusul în sine este destul de originală și chiar și pe mașinile cu putere redusă cauzează o întârziere atunci când programul original este lansat din fișierul infectat, pentru maximum două secunde. Cu toate acestea, există un dezavantaj: atunci când un fișier infectat este de la mass-media, care nu poate reda înregistrări (de exemplu, CD-drive, sau o unitate flash USB / dischetă cu jumper-ul, comutați la „scrie blocare“), programul original nu va rula. De asemenea, nu poate fi pornit și, dacă fișierul infectat este lansat pe net de la masina Win32.HLLP.HiDrag, dar în directorul Windows, care este deja prezent program de actina orice alte persoane. un virus sau un troian numit svchost.exe.
5. Altele.
Codul virus conține următoarele texte criptate:
Virus Dragon ascuns. Născut într-o mlaștină tropicală.
Gestionează puterea.
Primul numele său - „Hidrag“ - fragmente de virus a primit primul text - „Bună dden treneze“; al doilea - „Jeefo“ - pe fragmentul de cod al aceluiași text în formă criptată, care apare în mod aleatoriu în corpul virusului ca „I Jeefo!“.
6. Detectarea virusului și tratarea mașinii.
La momentul acestei specificații, software anti-virus pentru a detecta viruși în următoarele nomenclatoare:
Kaspersky Anti-Virus: Virus.Win32.Hidrag.a (tratează fișierele infectate)
Antivirus BitDefender Professional: Win32.Jeefo.A (dezinfecta fișierele infectate)
Antivirus DrWeb: Win32.HLLP.Jeefo.36352 (tratează fișierele infectate)
Trebuie remarcat faptul că un număr de copii ale virusului pot fi prezente în fișiere cu extensiile „CHK“ (acestea din urmă sunt fișiere redundante unele versiuni de Windows, în cazurile în care clusterele rele privind aplicarea sistemului Scandisk HDD).
Deoarece nu va fi ușor pentru un utilizator obișnuit să efectueze procesul de tratament de la un virus, deoarece în procesul de tratament în conformitate cu virusul activ Windows poate firul infecta fișierele deja dezinfectate (să nu mai vorbim de faptul că scanerul foarte anti-virus poate fi infectat), cea mai bună soluție problema virale, în opinia mea, este de a muta unitatea hard disk altora. mașină neinfectați, conexiune la acesta, ca secundar, cu tratamentul ulterior al tuturor informațiilor despre el. În fișierul svchost.exe proces de tratament, virusul trebuie să fie eliminate (precum și alte tipuri de fișiere din copia activă a virusului, dacă este cazul).
7. Despre virusul "teribil".
În orașul nostru, în Cernăuți, în plus față de distribuția masei Win32.HLLP.HiDrag a început puțin masiv să se răspândească zvonuri despre lucruri teribile care se presupune că uchinyaet virusul în aparat infectat. Zvonurile au fost susținute de faptul incontestabil că majoritatea „umple“ motoarele de virus a fost găsit într-adevăr, Win32.HLLP.HiDrag.
Având în vedere faptul că procedura de infecție fișier este realizată într-un mod profesionist, eliminând astfel riscul de deteriorare a acestuia în timp ce infectarea lor, precum și absența oricăror proceduri distructive în codul virusului, am făcut mai mult de cercetare mai multe fișiere cu o capacitate de pierdut de muncă, care au fost găsite copii Win32.HLLP.HiDrag. După cum sa dovedit, fișierele și-au pierdut capacitatea de lucru ca urmare a infecției lor cu mai mulți viruși simultan. În special, pe mașina infectată ca atare sa dovedit Win32.Parasite (aka Win32.Parite.b. Parite.2). Situația este după cum urmează: în registrele infectate fișier Win32.HLLP.HiDrag în începutul ei, apoi peretusovyvaet secțiune și unele dintre ele criptează, păstrând în corpul dumneavoastră informațiile relevante cu privire la modificările efectuate în codul original. La rândul său, corpul său Win32.Parasite atașează la sfârșitul fișierului infectat, și se ajustează ultimul titlu (care în acest moment este deja poziția acolo prescrie Win32.HLLP.HiDrag virus). Ce crezi că - dacă Win32.HLLP.HiDrag restaurat și adus înapoi la vizualizarea inițială a fișierului infectat va fi capabil în mod corespunzător, în cazul în care secțiunea coada acesta (fișierul) a apărut cod străin, care la cele mai bune date de viruși cu privire la toate modificările aduse acestora în codul programului inițial , nu se spune nimic? Evident că nu. Mai mult decât atât, atunci când executați acest fișier Win32.HLLP.HiDrag când încercați să recreeze fișierul original în mod irevocabil ruina (de altfel, nu numai el, dar, de asemenea, codul virusului Win32.Parasite). Programele anti-virus nu vor putea, de asemenea, să vindece o astfel de "mizerie".
Astfel, cauza reală a fișierului defecțiune, „tăierea“ a sistemului și pierderea de programe necesare și fișiere lot este realitatea, deși sună paradoxal, utilizatorul care în mod naiv sau pentru alte motive, timpul nu vindeca computerul de electronice " gândaci ".
Articole similare
Trimiteți-le prietenilor: