Энциклопедия компьютерных вирусов



             

BAT.Highjaq


Неопасный вирус-червь. Записывает себя в BAT-файлы в архивы формата ARJ и системные драйвера. Нерезидентен (т.е. не содержит резидентного кода, который заражает файлы), но если вирус загружен в память как системный драйвер, то перехватывает INT 8, 21h и остается резидентно в памяти. Код вируса содержит две части. Первая часть является текстовыми строками, которые выполняются при запуске вируса как BAT-файла, вторая часть содержит двоичный код, выполняемый при запуске вируса как COM-файла или системного драйвера. Текстовая часть вируса выглядит следующим образом (метки являются также командами передачи управления, если вирус запущен как двоичный выполняемый файл):

::pFqD @ctty nul copy/b %0.bat+%0 c:\q.com dir \*.arj/s/b|c:\q.com/i :qlpj if errorlevel 1 goto qWpU ren c:\q.com UMKQYGWK.5KA echo INSTALLHIGH=C:\UMKQYGWK.5KA>>c:\config.sys :qWpU for %%a in (%0 %0.bat) do if exist %%a set q=%%a del c:\q.com ctty con @del %q%

При запуске такого кода из BAT-файла вирус копирует себя в файл C:\Q.COM (третья строка). Этот файл является "дроппером" вируса, используемым для заражения других файлов. Затем вирус запускает команду DIR, которая ищет в каталогах текущего диска ARJ-архивы и передает их имена файлу Q.COM (4-я строка). Файл Q.COM заражает обнаруженные архивы, затем детектирует резидентную копию вируса и возвращает Errorlevel 1, если таковой код обнаружен. Если память не заражена (т.е. вирус не был запущен как системный драйвер), то вирус переименовывает файл Q.COM в UMKQYGWK.5KA и добавляет к файлу CONFIG.SYS строку:

INSTALLHIGH=C:\UMKQYGWK.5KA

В результате вирус добавляет себя к списку системных драйверов, и код вируса будет получать управление при загрузке DOS. Затем вирус уничтожает файл Q.COM и свой файл-носитель (BAT-файл, из которого был запущен вирус). При запуске в виде COM-файла (см. третью строку) вирус получает имя ARJ-архива из STDIN, проверяет архив и дописывает к архиву блок данных в формате ARJ. Этот блок является неупакованным (метод "store") файлом /WINSTART.BAT, который содержит код вируса.


Содержание  Назад  Вперед