První virus, který infikuje nápovědu

Počítačový virus WinHLP.Demo je prvním "záškodníkem", který byl naprogramován přímo jako infektor souborů nápov


Počítačový virus WinHLP.Demo je prvním "záškodníkem", který byl naprogramován
přímo jako infektor souborů nápovědy Windows32.hlp. Sice není prvním virem,
který je schopen "nápovědu" napadnout (tím prvním byl virus Win95_SK viz níže),
avšak je prvním stvořeným přímo za tímto účelem. Napadání windowsovské nápovědy
je umožněno díky skutečnosti, že help-soubory obsahují vlastní podprogramy
(makra).
WinHLP.Demo (dále jen Demo) funguje a replikuje se jako skript nápovědy pro
Windows. Jakmile je otevřen infikovaný soubor s koncovkou hlp, nápověda
operačního systému Windows spustí virus a vykoná všechny funkce v něm uvedené.
Použitím několika triků přinutí virus řídící systém nápovědy vykonat některé ne
zcela korektní příkazy jako regulérní program Win-32.
Poté, co infekční rutina přebere kontrolu, vyhledá knihovnu kernel32.dll (resp.
její obraz uložený v paměti) to je obvyklá rutina využívaná parazitickými
infektory. Odtud získá adresy všech funkcí Windows, které nezbytně potřebuje
znát pro svůj "život". Dalším krokem, který infekční rutina viru vykonává, je
hledání všech souborů nápovědy v aktuálním adresáři. Samozřejmě, že je virus
Demo nehledá pouze z dlouhé chvíle, ale proto, aby je mohl napadnout.
Po dokončení této "špinavé" práce Demo modifikuje interní souborovou strukturu
HLP a přidá svůj skript do systémové oblasti WINDOWS/SYSTEM prostě "vytáhne"
svou startovací rutinu z kódovaného těla a přidá ji do skriptu.
V tuto chvíli je infikace počítače dokončena, což je oznámeno následující
dvojicí nápisů ve dvou po sobě jdoucích oknech:
HLP.Demo
Trying to infect
HLP.Demo
Script comes to end!
Neslavné prvenství
Jak již bylo výše uvedeno, prvním počítačovým virem napadajícím nápovědu se
stal Win95_SK, což je parazitický virus pod Windows 95/98. Instaluje svou kopii
do paměti, přičemž se "navěšuje" na přístupové funkce a infikuje exe soubory.
Mimo těchto a výše zmíněných souborů s koncovkou hlp (modifikuje je tehdy,
jsou-li aktivované) se virus navíc dokáže také přidávat do čtyř typů archivů:
rar, zip, arj a ha.
Tělo viru je šifrováno polymorfní rutinou. Na viru Win95_SK je zajímavé, že
nepřebírá kontrolu v okamžiku, kdy je infikovaný soubor spuštěn. To je dáno
tím, že startovací instrukce JMP je uložena na náhodné místo souboru, a nikoliv
do jeho startovací adresy. Instrukce je tedy spuštěna pouze v okamžiku, kdy
odpovídající část programu vykonává svou činnost.
Virus spadá do kategorie "Slow infector". To znamená, že si jeho mechanismus
vybírá k napadení pouze program, do něhož je právě zapisováno. To na jedné
straně znamená, že nenapadá velké množství souborů, avšak na druhé straně je
obtížnější jej odhalit. Modifikuje totiž soubory, u nichž modifikaci očekáváme.
Opakem virů kategorie "Slow infector" je "Fast infector". Ty infikují soubory,
s nimiž je jakýmkoliv způsobem manipulováno (kopírování, přesunování,
prohlížení.). Virus Win95_SK tak napadá jen kolem deseti souborů ve standardní
instalaci Windows 95/98.
Win95_SK je velmi nebezpečný. Jakmile je aktivován, zkoumá jména souborů a
adresářů na pevných discích (od C: do Z:) a v případě nálezu některých
antivirových programů (Adinf, Avpi, AVP, VBA, DrWeb) se snaží smazat všechny
soubory ze všech adresářů. Poté shodí celý systém voláním
"Fatal_Error_Handler". A mimo to je tu ještě jedna "oběť" tohoto viru, která je
smazána pokaždé, kdykoli se instaluje do systému. Je to soubor command.pif v
adresáři Windows.
Virus má také nějaké chyby, které jsou "smrtelné" pod některými konfiguracemi
Windows 95/98, kdy při infikování způsobuje "modrou obrazovku" se standardním
hlášením "General Protection Fault". Při napadání systému Win95_SK s
pravděpodobností 1 ku 48 (záleží na nahodilém počítadle) zobrazuje vzkaz:
<C> 1997 VBA Ltd. E-mail:support@vba.minsk.by
Podprogramy hlp jsou automaticky provedeny, kdykoliv WinHelp aktivuje soubory
nápovědy. Jazyk využívaný v nápovědě je přitom dostatečně silný na to, aby měl
přístup k souborům na disku, vytvářel je či vykonával. Ovšem právě tato funkce
není ve většině zemí příliš nebezpečná: jakmile počítač nepodporuje ruštinu, k
šíření zmíněného viru pod nápovědou nedochází.
9 3031 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.