Connect with us

technokrata

W32.Cervan.6256 – polimorf vírus a futtatható állományok ellen

Dotkom

W32.Cervan.6256 – polimorf vírus a futtatható állományok ellen

A Windows Portable Executable (PE) file-jait fertőző polimorf vírus több bugot is tartalmaz – ennek következtében eredeti céljainak egy részét nem képes megvalósítani.

A vírus paraméterei

Felfedezésének ideje: 2002. december 1.
Védekezés elkészültének ideje: 2002. december 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 6.256 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a vírus úgynevezett entry-point obscuring működésű, ami azt jelenti, hogy nem attól kerül indításra, hogy egy fertőzött file-t futtat a felhasználó, hanem az import tábla megfertőzésével akkor aktiválódik, ha az importált funkció meghívásra kerül (a LoadLibrary és a GetProcAddress érintettek az esetben)
– számos funkció címét manuálisan importálja 5 elkülönített DLL állományban
– körülbelül 6 KB-nyi memóriát lefoglal (ez a memóriaszervezés miatt 8 KB lesz), majd ide bemásolja törzsét, s a továbbiakban innen működik
– többszálas működésű, így létrehoz egy második szálat (az elrontott kód miatt ez a második szál gyakran nem működőképes), majd futtatja
– további (API) importálásokat végez
– ha a második szál mégis működőképes, akkor a futó és más állományokat megnyitott állapotban tartó programok révén a megnyitott file-okat megfertőzi (például a Notepad által megnyitott PE file-okat meg tudja fertőzni, de a Telnet esetében nem képes ugyanerre)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek