Энциклопедия компьютерных вирусов

         

Win32.Hatred, семейство


Опасные нерезидентные полиморфные Window-вирусы длиной более 10Kb. Заражают PE EXE-файлы Windows. При заражении увеличивают размер последней секции файла, шифруют и записывают туда свой код, затем изменяют необходимые полля в PE-заголовке. Содержат летальные ошибки и в большинстве случаев портят файлы при заражении, т.е. размножаются только из своего "первого поколения" (дроппера).

При размножении вирусы первым делом заражают файлы CDPLAYER.EXE, CALC.EXE, PBRUSH.EXE, MPLAYER.EXE, NOTEPAD.EXE, WINHLP32.EXE в каталоге Windows, затем ищут и заражают PE EXE-файлы во всех каталогах всех дисков.

Каждый раз при запуске вирусы заражают файлы только на одном диске, а следующий диск заражается при очередном запуске инфицироваанного файла. Для реализации этого метода вирусы набирают информацию о всех дисках в системе, шифруют ее и записывают в системный реестр в ключе:

HKEY_CURRENT_USER\Control Panel\Cursors: [имя ключа] = [информация о дисках]

При очередном запуске вирус считывает из этого ключа реестра информацию о незараженных дисках, заражает очередной диск и обновляет информацию в ключе. Разные версии вируса имеют различные имена ключей:

"Hatred.a": dertaH "Hatred.b": YKCUL

- "Hatred" и "LUCKY", написанные задом наперед.

Вирусы проверяют имена файлов и не заражают антивирусы: F-*, AW*, AV*, NAV*, PAV*, RAV*, NVC*, FPR*, DSS*, IBM*, INOC*, ANTI*, SCN*, VSAF*, VSWP*, PANDA*, DRWEB*, FSAV* (F-PROT, AVG, AVP, и т.д.)

Вирусы также уничтожают некоторые антивирусные файлы данных:

AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS

По 7-м числам ежемесячно ("Hatred.a") или по 3-м числам ("Hatred.b") вирусы выводят сообщение, а затем случаынйм образом покрывают экран черными точками (размером в один пиксель). Сообщения вирусов:

"Hatred.a"

Win32.Hatred by Lord Julus (c) 1999 Today is the 7th !! Today is the day of hate !! With Heart feel Hatred ! Black blood runs thru my veins ! Hatred !!!! Hatred !!!! (escape is your escape)

"Hatred.b"

Win95/98/Nt This is The Comtech Vir by LUCKY B.R.D 1994-99 Comtech product are bad.....

Вирусы также содержат тексты:



"Hatred.a":

Win32.Hatred V.1.0 (C) 1999 by Lord Julus / [SLAM]

"Hatred.b":

LUCKY B.R.D 1994-99

Полиморфик-генератор в вирусах содержит "копирайты":

Multiple Opcode Fantasies 32Bit V.2.5 by Lord Julus - 1999 JGM - Junk Generator Module V.1.0 by Lord Julus - March 1999

Демонстрации вирусных эффектов:

hatred.exe



Содержание раздела