Энциклопедия компьютерных вирусов
Секция WIN.INI и проявления вируса
При заражении системы вирус создает в файле WIN.INI новую секцию [The Apparition]. В ней он создает и модифицирует свои параметры и затем использует их при работе. "Running NOW=" - "Yes" означает, что вирус уже активен в системе и при повторных запусках зараженных файлов он не будет устанавливать себя в память. При заражении системы (при первом запуске) вирус устанавливает этот параметр в "Yes", при выходе - в "No". "BootInfected=" - "1" означает, что "дроппер" VIDACCEL.EXE уже присутствует в системе, и вирус не должен заново создавать его. "DieMonth=" и "DieDay=" указывают день и месяц "срабатывания". В этот день вирус уничтожает все файлы (кроме WIN386.SWP и 386SPART.PAR) на всех дисках. При заражении системы вирус устанавливает дату срабатывания на текущую дату плюс один месяц. "AtomID=" и "IDAtom=" - параметры вируса, используемые при системных вызовах. Вирус также обрабатывает параметры, которые не создает, т.е. эти параметры могут быть созданы и модифицированы только пользователем. Видимо, автор вируса использовал их при отладке. "Die=" - запрещает удаление файлов. "NoRun=" - запрещает инсталляцию вируса в систему. "NoInfect=" - запрещает заражение файлов. "ShowDotsOn=1", "ShowDialog=666", "Logging=YES" - отладочные параметры. Если установлен параметр "Logging", вирус создает в каталоге Windows файл WINAPP.LOG и записывает в него сообщения:
Started. - при запуске зараженного файла Loaded OK. - при выделении памяти InfectBoot = start - перед созданием VIDACCEL.EXE InfectBoot = done - после создания VIDACCEL.EXE Running application - перед запуском файла-носителя Application finished - после запуска файла-носителя Terminate requested - при нажатии на соответствующую кнопку, Paused если окно вируса - видимое (см. ниже) Resumed Remove from memory requested !!! Destruction requested !!! Executing PIF : - при запуске Borland Pascal PM Failed : No compiler - при работе полиморфик-генератора PM started PM is using temp dir PM Failed : Out of diskspace PM Failed : 1st compile failed 1st compile OK.
PM Failed : Source file too big PM : Compression started, bytes PM : Compression completed, PM : Constants updated PM : 2nd compile failed PM : I/O Error PM : Linked OK
Если установлен параметр "ShowDotsOn", вирус выводит MessageBoxes (заголовок/сообщение) и запрашивает разрешение пользователя:
!!! VIRUS WARNING !!! Do you really want to run program infected by virus ?
!!! WARNING !!! Overwrite NORMAL.DOT, confirmed ?
!!! THE APPARITION WARNING !!! Infect [filename] Confirmed ?
Если параметр "ShowDialog" равен "666", вирус делает свое окно видимым, и оно появляется на экране:
+--------------------------------+ | - | THE APPARITION | * | |--------------------------------| | File Help | |--------------------------------| | The Apparition for Windows | | UltraGluk ALL-IN-ONE | | | | Status : | | Last : | | Total : | | | | +------------+ +-----------+ | | | Terminate | | Pause | | | +------------+ +-----------+ | | +---------------------------+ | | | !!! DESTRUCT !!! | | | +---------------------------+ | +--------------------------------+
Меню "File" содержит четыре пункта: "Check" - вирус выводит MessageBox:
Double FUCK!!! Press CTRL+ALT+DEL Twice to Install Printer!!!
"Infect" - вирус запускает FileBrowser и затем заражает указанный файл. При этом могут выводиться сообщения:
Error! Infection engine is busy.
You MAZDAI! File is already infected, I WANNA new file to infect!
Кнопки "Remove" и "Teminate" (ошибка - в вирусе) удаляют вирус из системы. При нажатии на "Remove" вирус также сообщает:
WINAPP About to remove from memory, confirmed?
Меню "Help" содержит единственный пункт "About", который выводит текст:
About The Apparition Win-Apparition Written by Lord Asd Last modified : 25 Dec '96 This beta version of The Apparition was tested only under Win 3.10 and may work incorrectly under other Win versions and OS/2 Warp
Строка "Status :" в окне вируса содержит текущее состояние вируса:
Completing task... Wait... Locked. Upgraded OK. Paused by operator. Mapping drives... Scanning tree (Level x)... Spreading... Idle. PM : Loading... PM : Unpack... PM : Mutation... PM : 1st compile PM : FAILURE PM : Compression... PM : Updating... PM : 2nd compile PM : Linking...
Строка "Last :" содержит имя последнего зараженного файла, строка "Total :" - число файлов, обнаруженных при сканировании дисков. При нажатии на кнопки:
"Terminate" - вирус удаляет себя из памяти. "Pause" - заменяет текст в кнопке на "Resume" и не вызывает процедуры заражения "DESTRUCT" - выводит MessageBox'ы и стирает файлы на всех дисках:
WARNING Are you sure you want to delete all files from your disks?
!!! DANGER !!! Destroy all data on all available devices, confirmed?
Вирус в различных случаях также выводит прочие MessageBos'ы
Warning Destruction locked.
System error System stack failure, error code 0xC6 at 0004:2F16
Error Unexpected disk operation failure, error code 0x0x
Error Out of memory.
Error Unknown disk error.
!!! VIRUS WARNING !!! This program is infected by The Apparition for Windows and will not start.
Содержит также строки:
APPARITION _PSEUDO_ICON MAIN_MENU ABOUTDLG UNTITLED WINAPP COMMDLG KERNEL KERNEL GDI USER KEYBOARD KERNEL USER KEYBOARD WINAPP.EXE All files *.* Executable files (*.EXE) *.EXE Infect file EXE ApparitionInstalled hInstance= *** PERMUTATION START HERE *** *** PERMUTATION STOP HERE *** Function Begin End \TMP$XTMP.T01 \TMP$XTMP.T02 \TMP$XTMP.EXE \MAIN.RES !!! CODE SIZE !!! VSize= cs_const= !!! DECOMPRESSED SRC SIZE !!! XSrcSize= xss_const= !!! COMPRESSED SRC SIZE !!! CSrcSize= css_const= ApparitionInstalled AboutDlg Apparition ApparitionInstalled THE APPARITION Running THE APPARITION KERNEL USER GDI KRNL386 KRNL286 MICROSOFT PIFEX WINDOWS 286 3.0 WINDOWS 386 3.0 Portions Copyright (c) 1983,92 Borland OW1 OW2 TurboWindow Error code = %d. Continue? Application Error (Inactive %s) TPWinCrt Runtime error 000 at 0000:0000.Main_Menu Apparition THE APPARITION Times New Roman Terminate Apparition Last None Pause Total !!! DESTRUCT !!! Initializing... Status
