...
...

Троянские кони

Троянские кони

Trojan.NetPatch

Этот троянец был выпущен в Интернет как "превосходный патч к Netscape". На самом деле, эта программа всего лишь меняет системное время - делает это вызовом DOS Shell COMMAND.COM /C DATE=18/04/2097, очищает экран командой COMMAND.COM /C CLS и создает в текущем каталоге два файла. Первый из них имеет нулевой размер, второй содержит текст NETSCAPE IS PATCHED.

Замечание: команда DATE не работает в 4DOS, поскольку имеет другой формат.

Time, Antitime

Замечание: если при запуске антивирус ANTI-KOT найдет на компьютере вирус Time, ни в коем случае не следует лечить файлы - ANTI-KOT определяет этот вирус крайне некорректно!

Общепринятое имя этого вируса - Jerusalem. При заражении файлов он записывает в их конец строку MsDos и в дальнейшем определяет ней, что файл уже заражен. Антивирус ANTI-KOT детектирует вирус как раз по этой строке, что крайне некорректно - ведь такая строка может оказаться в конце файла по какой-нибудь другой причине.

Более того, другой антивирус (TNTVIRUS) иммунизирует файлы против заражения именно строкой MsDos. В результате, после прохода по диску антивируса TNTVIRUS, антивирус ANTI-KOT начинает находить в каждом файле вирус Time. Появилась и другая программа (ANTITIME), которая реагирует на строку MsDos сообщением НАЙДЕН СТРАШНЫЙ TIME - УНИЧТОЖАТЬ ? [Y/N]

Для того чтобы избавиться от проблемы вируса Time, рекомендуется удалить программы ANTI-KOT, TNTVIRUS и ANTITIME с диска.

Choleepa

Если на диске в начале второго сектора (по адресу 0/0/2 - head/track/sector) появилась (или была там с момента покупки диска) строка CHOLEEPA, то это, скорее всего, означает, что диск произведен фирмой Seagate, его размер больше 500 мегабайт и используется EZ-драйвер.

Nikita

Троянец в документах MS Word. Содержит два макроса: AutoOpen и Fun. Троянский документ также содержит текст Hello Guys! Oh, please stay here and look! и изображение рожицы. При открытии зараженного документа Nikita копирует макрос Fun в область глобальных макросов под именем AutoOpen, затем увеличивает размер документа (рожицы) на весь экран и двигает изображение. При запуске Word c зараженным NORMAL.DOT вирус заполняет диск файлами со случайными именами, записывая в них текст Nikita (1997) Nightmare Joker [SLAM].

On4ever

Длина - 111 байт. При запуске создает файл 00000001.COM, записывает в него свой код, помещает в буфер клавиатуры строку 00000001.COM и выходит в DOS.

Когда буфере клавиатуры находится имя вновь созданного файла, DOS реагирует на это, как на команду запуска и выполняет ее. Файл 00000001.COM тем же самым способом создает и запускает файл 00000002.COM, затем 00000002.COM в свою очередь создает 00000003.COM и т.д.

PKZ300b

Представляет собой самораспаковывающийся архив (Zip2Exe) с именем PKZ300B.EXE и длиной 178,981 байт. Внутри архива - 5 файлов:

PKZINST.EXE      5,328     сам троянец

WHATSNEW.300  2,417     WhatsNew из PkZip 2.04c, все строки 2.04c заменены на 3.0

COMPRESS.000    124,005 ARJ 2.41, плюс экстра-данные

COMPRESS.001    116,260 ARJ 2.41 сам по себе

FILE_ID.DIZ         101        DOC-файл, говорит про этот архив, что он - Pkzip 3.00b.

Троянцем является единственный файл - PKZINST.EXE. Написан он на Турбо-Паскале. При запуске выводит текст

PKZIP Install Utility Version 3.00b 4-05-950

Copr. 1989-1995 Pkware Inc. All Rights Reserved.

Pkzip Reg. U.S. Pat. and Tm. Off.

Initializing, this may take a few minutes....

и выполняет две команды:

COMMAND.COM /C Format c: NULL

COMMAND.COM /C deltree /y c: \ NULL

К счастью, автору троянца не хватило ума сделать его без ошибок, и он затыкается на первой же команде - DOS ждет ответа на стандартный запрос

WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST!

Proceed with Format (Y/N)?

Причем самого этого запроса на экране не видно. Не дай бог, конечно же, нажать клавишу [Y] или [N]. Если [Y], то пойдет форматирование диска C:, если [N], то сработает DELTREE. Однако естественное желание при виде "заснувшей" программы - нажать Reset или [Ctrl]+[Break]. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по [Ctrl]+[Break], то он еще вякает напоследок Thanks for waiting, moron. You shouldn't have fucked with us и вываливается в DOS. Так что благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip.

Плюс к ней в троянце есть еще одна ошибка. Перенаправление NULL создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением NUL. Судя по всему сие (юное) дарование читает DOS User's Guide и еще не дошло до буквы N в алфавитном списке команд DOS.

AVP ловит этого троянца под именем Trojan.PKZ300b как в распакованном файле, так и в архиве.

Stdout

Эти программы представляют собой реализацию доведенной до абсурда идеи написания самого короткого DOS-вируса. При этом они являются скорее троянскими программами, чем вирусами, поскольку при запуске всего лишь выводят свой код на STDOUT (по умолчанию - дисплей). Достигается это очень небольшим количеством команд:

MOV AX,BP или

XCHG AX,BP..... при запуске COM-файлов.....BP=091Ch

MOV DX,SI..... и SI=0100h для большинства .....версий DOS

INT 21h..... результат: AH=09h, DX=0100h

RET..... выход в DOS

В результате эти программы могут размножаться только в том случае, когда в командной строке указано перенаправление вывода Infected.COM SomeFile.COM. При запуске без параметров они выводят случайные данные на дисплей и не способны к размножению.

подпись

компьютерная газета


© Компьютерная газета

полезные ссылки
Аренда ноутбуков