VirusHunter предупреждава потребителите на персонални компютри за разпространението на Win32.HLLP.HiDrag на вирус файл (известен още като Win32.Hidrag.a. Jeefo.A), установяване на Win32-програма и скрийнсейвъри.
Детайлно описание Win32.HLLP.HiDrag вирус.
1. Източници на получаване на колата.
Основният източник на разпространението на вируса е, както обикновено, файлов обмен мрежа. Вирусът може да влезе в директорията на програмите машини за споделяне на файлове като под прикритието на "полезни" програми, или просто в заразената софтуерни дистрибуции софтуера, можете изпрати вашите приятели или познати. За съжаление, повечето хора е трудно да се игнорира антивирусен софтуер или просто не се актуализира базата данни с вирусни, което води до "събуди" навлизането на вируса в колите си. В резултат на това, заразени компютри са се превърнали в територии за отглеждане на вируси до десетки или дори стотици други компютри. Потенциална опасност може да бъде CD / DVD дискове, записани на "чисти" превозни средства, като например ясно е, че сред тях записва (ROM) и файлове ще бъдат заразени. Не е изключено също така и възможност за улов на вируса в случай, че използвате за прехвърляне / на съхранение, флаш памети (USB флаш памет за съхранение) или дискети.
2. Инсталиране на системата.
Win32.HLLP.HiDrag е Windows-резидент програма (т.нар PE EXE-файла, който съдържа в своята заглавна етикет "PE"; те включват в програмата с 32-битов код, написани на езици от високо ниво, като, например, , C ++ Builder, Borland Turbo Pascal (Delphi) и така нататък. които да работят в Windows среда). Той има капацитет при всички операционни системи Windows на разположение днес.
Win32.HLLP.HiDrag програмен код защитени крипта-код, който се намира в началото на вируса с помощта на специално изградена за процедурата разшифроването директно в паметта на устройството, без да създават никакви временни файлове.
Схематично структурата на вирусния код е както следва:
Както се вижда от схемата, Win32.HLLP.HiDrag тяло се състои от две части - основа кода и допълнителната част, в които вирусът може да се съхранява информацията за обслужване. спомагателни размер секция е около 3% от общата площ на вирусния тялото.
Win32.HLLP.HiDrag може да се инсталира в системата по два начина, в зависимост от кой файл направена първа си старт на чиста кола - от факта, който съдържа само в първоначалната програма вирус или инфекция.
Когато един заразен файл, вирусът определя условията на функция% Windir% директорията, в която сте инсталирали на OS Windows (обикновено C: \ WINDOWS, така че оттук нататък ще го отнасят до директорията) и се копира в него под името
Този файл е със следните характеристики:
svchost.exe файл пребивава в памет до края на вашия Windows. За да може да се активира този файл всеки път, когато се стартира системата, вирусът създава ключ, наречен "PowerManager" в регистрите на системния регистър:
Ако чиста машина първо стартиране на вируса, продуциран от файл, съдържащ само вирусния код (т.е. от идентична svchost.exe файл. Но, например, под zastavka.scr името или каквито и да било други.), Инсталирането Win32. HLLP.HiDrag извършва, както следва: вирусът чете името на течаща вирус файл и създава ключ регистъра на системния регистър под името "PowerManager", както следва:
където% пътека% - местоположение на файла работещ вирус и name.ext - името му. По този начин, ролята на svchost.exe бягане компонент изпълнява потребителски файл с оригиналната програма вирус. В същото време в svchost.exe системния файл директория е създаден. Ако в бъдеще ще се работи и да е от заразените файлове, svchost.exe ще бъде създаден в системната директория, но вирусът не се приложи към ключа на системния регистър и допълнително активно ще остане по-горе файл.
3. заразени файлове.
След инсталирането на системата изчаква вирус няколко минути, без каквито и да било операции, за да се скрие присъствието си в системата и да няма видими дейност. След това започва да търси и заразяване PE EXE- (програми) и SCR- (скрийнсейвъри) файлове. Този процес протича по следния начин: на първо място, търси вируси за 6 от тези файлови формати в главната директория на системата, т.е.
Тогава спрете да търсите и заразяване на файлове на процеса, в очакване на 5-10 минути и заразява 6 файлове, след което чака за определен период от време и да се започне отново процедурата.
Веднага трябва да се отбележи, че вирусът е избрал да зарази само тези файлове, които са по-големи от около 110 KB, а останалите не пипай. Преди заразяване на всеки файл, за да скрие присъствието си в системата, вирусът прочита (файл) атрибути, дата и час на изменението, заразява даден файл, и след това се възлага на първоначалните данни обратно. В резултат на това системата не записва данни на заразени файлове са променени, което е трудно визуално търсене на последните прави.
Когато е в главната директория C на: \ WINDOWS са заразени всички съответни файлове, вирусът продължава да зарази горната схема по следния поддиректории системната директория:
за Windows 9x / ME:
C: \ Windows \ SYSTEM \
за Windows 2K / XP:
C: \ Windows \ System32 \
включително файлове във всички поддиректории на директорията на данни. По-късно, вирусът се премества заразени файлове във всички поддиректории системната директория
По отношение на заразяването на други файлове в други папки raspololozhennyh задвижваща система, както и други. Логически устройства автомобили, включително мрежата, отворени за пълен или частичен достъп, това се случи в зависимост от някои вътрешни броячи на вируса. Поради тази причина, че файловете на тези дискове за дълъг период от време могат да останат чисти.
При търсене на нови файлове, за да заразят проверява за вируси за наличието на кода: сравнява основната си код на инсталирания файл с първоначалните съдържанието на файл-а "жертва" в системата, така че всеки заразен файл съдържа само едно копие на вируса. Когато стартирате заразен файл, вирусът е първо да го лекува, а след това да го изпълнява (този детайл ще покаже по-долу).
4. Принципът на заразяване на файлове.
Докато заразяване на файлове на вируса заобикаля атрибут "само за четене" ( "само за четене") и използва доста сложен алгоритъм пишат код във файлове. В този случай, той се прилага метода, използван в момента в старите файлови вируси HLLP-семейство (Програма на високо равнище език) метод: намерени презаписва EXE- или SCR-файл със собствен код, който добавя към края на кода на оригиналната програма. Въпреки това, вирусът не само записва тялото си в предната част на оригиналната програма код и реконструира късно, променяйки го от порядъка на логическите секции и шифроване на заглавието му, първият и един от най-централната част. Схематично изглежда така:
В допълнителен сред вписванията, вместо фалшиви цифрови подписи на Microsoft, вирусът пише данните на услуги, съдържащи информация за първоначалното местоположение peretusovannyh секции от оригиналната програма, както и указател към последния от тези секции, които са криптирани. Данните, включени в допълнителен раздел, вирусът криптира.
Трябва да се отбележи, че процедурата за реконструкция на оригиналния файл и след това криптирана нейните секции извършват по професионален начин, с което размерът на първоначалната програма не се променя след инфекцията, а общият размер на файла се увеличава плавно 36352 байта (т.е. само на вирусен размера на тялото ).
Когато заразеният файл е копие на вируса, съхранявани в него, проверете дали вирусът е инсталиран в системата, а след това извършва следните неща:
- Управление получава под наш файл копие на вируса, който се отнася до svchost.exe файла с WINDOWS \, и го прави специална подпрограма, след което заразения файл е приключило;
- получава обаждане от своя екземпляр на заразения файл, вирусът svchost.exe на (по-нататък "Вирус"), гласи (заразен файл) разположението и съхранява информацията в системната памет като променлива А;
- по данни на променливата А вирус е заразен нашия файл, декриптира и чете от него на част от код, който съдържа оригиналната схема на възстановителните програми след заразяването, и съхранява данните в системната памет като променлива B;
- Други характеристики на вируса прочитания заразения файл (неговите атрибути, дата и час на изменението им), и съхранява данните в системната памет като променлива C;
- Вирусът след това изтрива своята копие от заразения нашия файл, както и да блокира по схемата (файл) прекроявам, а след това, като се ръководи от данните на променливата В, декриптира бъркани от блокове, заразени файла и пренарежда всички файлове блокове до оригиналната версия, която той (файлови ) са имали преди инфекция;
- и последното, което прави вируса - се възлага на файл, отговарящ на характеристиките, които чете от променлива C, извадете променливи памет А, B, C, и запазете файла и след това да го изпълнява.
Такъв метод на лечение на вируса на вируса е доста оригинален, дори и на най-ниския клас машини ще доведе до забавяне при стартиране на оригиналната програма от заразения файл с най-много няколко секунди. Въпреки това, има един недостатък: когато заразеният файл е от страна на медиите, които не могат да се стекат запис (например CD-дискове или USB флаш устройство / дискета с джъмпера, преминете към "пише заключване"), първоначалната програма няма да се изпълнява. тя също така не може да се стартира и ако заразения файл е пуснат в мрежата от Win32.HLLP.HiDrag кола, но в директорията WINDOWS който вече присъства програма актин всички други. вирус или троянски име svchost.exe.
5. Други.
В кода на вируса съдържа следната криптирана текст:
Скрити Dragon вирус. Роден в тропическа блато.
Управлява пестене на захранването характеристики на компютъра.
Първото му име - "Hidrag" - фрагменти от вируси, получени първия текст - "Здравей dden Издърпайте"; втората - "Jeefo" - на кодовия фрагмент от един и същ текст в шифрован вид, който случайно се появява в тялото на вируса като "Аз jeefo!".
6. Определяне на машини вируси и лечение.
По време на тази спецификация, антивирусен софтуер за откриване на вируси, при следните номенклатури:
Antivirus Kaspersky AntiVirus: Virus.Win32.Hidrag.a (дезинфекцира заразените файлове)
Antivirus BitDefender Professional: Win32.Jeefo.A (дезинфекцира заразените файлове)
Antivirus DrWeb: Win32.HLLP.Jeefo.36352 (дезинфекцира заразените файлове)
Трябва да се отбележи, че броят на копията на вируса може да присъства във файлове с разширения "CHK" (последните са файловете, излишни някои версии на Windows в случаите, когато лошите клъстери за прилагането на системата позор HDD).
От началото на процеса за прилагане на лечение на вируса ще бъде трудно за обикновения потребител, тъй като в процеса на лечение под активно вируса на Windows може да вдене зарази вече дезинфекцират файлове (да не говорим за факта, че скенер много анти-вирус може да бъде заразен), най-доброто решение вирусен проблема, по мое мнение, е да се премине на твърдия диск на други хора. неинфектирани машина, връзка към нея като вторично, следван prolechivaniem цялата информация, разположен върху него. В svchost.exe досието на процеса на третиране на вируса трябва да бъдат отстранени (както и други видове файлове от активната копие на вируса, ако има такива).
7. На "ужасен" вируса.
В нашия град, в Черновци, в допълнение към масово разпространение Win32.HLLP.HiDrag поне масово започва да се разпространява слухове за ужасните неща, които се предполага, че uchinyaet вируса в заразената машина. Слуховете бяха подкрепени от безспорния факт, че по-голямата част от "запълнят" вирусни двигатели е установено, че наистина Win32.HLLP.HiDrag.
Предвид факта, че процедурата по файл инфекция се извършва по професионален начин, като по този начин се елиминира вероятността от увреждане на последната, докато заразяването им, както и липсата на каквито и деструктивни процедури в кода на вируса, което направих по-изследователските множество файлове с изгубена работоспособност, които са били открити копия Win32.HLLP.HiDrag. Както се оказа, файловете са загубили работоспособността си в резултат на инфекция от няколко вируси в същото време. По-специално на заразения машината като такива оказа Win32.Parasite (известен още като Win32.Parite.b. Parite.2). Ситуацията е следната: в заразения файл Win32.HLLP.HiDrag регистри в неговото начало, а след това peretusovyvaet раздел а някои от тях криптира, запазвайки в тялото си информация за извършените промени в оригиналния код. На свой ред, Win32.Parasite добавя тялото му до края на заразения файл, и да го регулира последното заглавие (което в този момент вече е натам предписва вирус Win32.HLLP.HiDrag). Какво мислите - дали Win32.HLLP.HiDrag правилно възстановен и върнат към първоначалния изглед на заразения файл ще бъде в състояние, ако той (файла) раздел опашка се появи чужд код, който по най-добрия вирусни данни за всички промени, направени в тях, в оригиналната програма кода Тя не каза нищо? Очевидно не. Освен това, когато ви свършат тази Win32.HLLP.HiDrag файл, когато се опитате да се пресъздаде на оригиналния файл безвъзвратно го съсипе (между другото, не само него, но и Win32.Parasite вирус код). Антивирусният софтуер също няма да може да се лекува такава "каша".
По този начин, истинската причина за файла неизправност, "рязане" на системата и загуба на необходимите програми и пакетни файлове е реалността, макар и да звучи парадоксално, потребителят, който е наивно или поради други причини, времето не лекува вашия компютър от електрониката " хлебарки ".
Свързани статии