Энциклопедия компьютерных вирусов
Win32.Kriz
Крайне опасный резидентный полиморфик Windows-вирус. Размножается под Win32 и заражает выполняемые файлы Windows (PE EXE-файлы), которые имеют расширения .EXE и .SCR. Вирус также заражает KERNEL32.DLL, что позволяет вирусу оставаться в системе резидентно на все время работы Windows. Вирус при этом заражает KERNEL32.DLL таким образом, что копия вируса перехватывает функции KERNEL32: открытие, копирование, перемещение файлов и т.д. При вызове таких функций вирус заражает файлы, к которым идет обращение. Вирус проверяет имена файлов и не заражает некоторые антивирусные программы:
_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE
Вирус имеет крайне опасную деструктивную процедуру, которая активизируется 25 декабря. В этот день вирус при обращении к первому .EXE- или .SCR-файлу стирает CMOS, записывает "мусор" во все файлы во всех подкаталогах на всех дисках от C: до Z:, затем портит Flash BIOS (при этом использует процедуру из вируса "Win95_CIH" - "Чернобыль").
При старте зараженного файла управление передается на полиморфный расшифровщик вируса, который затем передает управление на основные вирусные процедуры заражения PE-файлов и KERNEL32.DLL. При заражении вирус использует функции Windows, адреса которых получает сканированием ядра Windows. Затем вирус заражает файл KERNEL32.DLL.
При заражении KERNEL32 и других выполняемых PE-файлов вирус в зависимости от своей версии либо увеличивает размер последней секции файла и записывает туда свой код, либо создает в конце файла дополнительную секцию, шифрует и записывает туда свой код и модифицирует стартовый адрес программы таким образом, что при загрузке в память зараженного файла управление передается на код вируса. Вирусная секция имеет имя "...". Для того, чтобы отличать зараженные файлы от незараженных, вирус также записывает строку-идентификатор "666" в неиспользуемое поле PE-заголовка.
При заражении файла KERNEL32. DLL вирус также сканирует таблицу экспортов этого файла и модифицирует адреса нескольких функций таким образом, что при загрузке этого модуля вызовы этих функций будут идти через перехватчики вируса. Таким образом вирус перехватывает функции KERNEL32.
Всего вирусом перехватывается 16 функций KERNEL32 - открытие, копирование, уничтожение файлов, запуск процессов и т.п. Список функций выглядит следующим образом:
CopyFileA CopyFileW CreateFileA CreateFileW DeleteFileA DeleteFileW MoveFileA MoveFileExA MoveFileW MoveFileExW GetFileAttributesA SetFileAttributesW SetFileAttributesA SetFileAttributesExA CreateProcessA CreateProcessW
Для заражения KERNEL32.DLL вирусу требуется получить права записи в этот файл, что невозможно по той причине, что при работе Windows этот файл может быть открыт только в режиме "чтение". По этой причине вирус использует достаточно стандартный прием замещения KERNEL32: вирус создает его копию с именем KRIZED.TT6, заражает ее и записывает в файл WININIT.INI команду замещения "настоящего" KERNEL32.DLL на его зараженную копию. При слудующей загрузке Windows исполняет эту команду, и система оказывается зараженной.
В коде вируса содержится строка-"копирайт":
=( [c] 1999 [t] )=
Также вирус содержит строку-сообщение, которая однако никак не используется:
YOU CALL IT RELIGION, YOU'RE FULL OF SHIT YOU NEVER KNEW, YOU NEVER DID, YOU NEVER WILL YOU'RE SO FULL OF SHIT, I DON'T WANT TO HEAR IT ALL YOU DO IS TALK ABOUT YOURSELF I DON'T WANNA HEAR IT, COZ I KNOW NONE OF IT'S TRUE I'M SICK AND TIRED OF ALL YOUR GODDAMN LIES LIES IN THE NAME OF GOD WHEN ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT?! I KNOW YOU'RE SO FULL OF SHIT, SO SHUT YOUR FUCKING MOUTH YOU KEEP ON TALKING, TALKING EVERYDAY FIRST YOU'RE TELLING STORIES, THEN YOU'RE TELLING LIES WHEN THE FUCK ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT!! AH, SHUT THE FUCK UP...
