Энциклопедия компьютерных вирусов
         

Win32.Parvo


Нерезидентный полиморфик

-вирус, размножается под Windows32 (Win95/98 and WinNT) и заражает PE EXE-файлы (Portable Executable). Имеет довольно внушительный размер для программы, написанной на Ассемблере — более 15Kb.

Наиболее интересной особенностью вируса является его способность рассылать свои копии по случайно выбранным адресам электронной почты (см. также описания других вирусов, рассылающих зараженные письма: Win.RedTeam, "Word97.Antimarc", "Word.Innuendo", "Macro.Word.ShareFun").

Код вируса содержит «копирайты»:

- Parvo BioCoded by GriYo / 29A - Win32 Tech Support by Jacky Qwerty / 29A - Thanks to Darkman / 29A and b0z0 / Ikx for their ideas and strategy - Parvo is a research speciment, do not distribute - c1999 29A Labs ... We create life -

Многие процедуры вируса (заражение, полиморфик-генератор) функционально совпадают с вирусом "Win95.Marburg". Так же, как и «Marburg», вирус записывает себя в конец последней секции и не изменяет адрес «точки входа» — вместо этого записывает в «точку входа» инструкцию JMP_Virus передачи управления на код вируса. Перед командой JMP_Virus может также присутствовать некоторое количество полиморфного кода.

При запуске зараженного файла управление передается на полиморфик-цикл и дополнительный короткий цикл расшифровки, которые восстанавливают код вируса в первоначальном виде. Затем управление получает процедура подсчета контрольной суммы кода вируса — если CRC вируса некорректна, вирус прекращает свою работу. Необходимость CRC-проверки вызвана, скорее всего, тем фактом, что вирус рассылает свои копии по электронной почте. Данные в письме могут быть повреждены, и вирус при помощи CRC блокирует исполнение своих испорченых копий.

Затем вирус сканирует ядро Windows и определяет необходимые для его работы адреса API-функций Windows. При поиске API-функций вирус вместо «настоящих» имен использует их CRC-суммы: для каждой следующей функции ядра Windows вирус подсчитывает ее CRC и сравнивает с таблицей, хранящейся в теле вируса.


Для заражения вирус ищет EXE-файлы в текущем каталоге, в главном и системном каталогах Windows. Вирус также заражает файлы в каталогах, в которых установлены Интернет-броузер и электронная почта. Имена этих каталогов вирус считывает из системного реестра.

Вирус заражает только файлы из достаточно короткого списка: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE, и некоторые другие. При сравнении имен файлов вирус опять-таки использует их CRC-суммы.

При возврате управления программе-носителю вирус создает на диске копию зараженного файла, лечит ее и запускает на выполнение. Вирус при этом остается в памяти компьютера на все время работы вылеченной копии, т.е. может находиться в системной памяти неопределенно долгое время. Однако несмотря на этот факт, вирус нельзя считать резидентным: он не перехватывает никаких системных событий, не заражает файлы — т.е. находится в «спящем» состоянии.

При рассылке зараженных писем вирус при помощи функций Windows получает доступ к сетевым ресурсам, создает письмо, присоединяет к нему зараженный файл-дроппер и отсылает его по случайно выбранному электронному адресу. Адреса рассылки выбираются вирусом по достаточно оригинальному методу: вирус входит на один из нескольких возможных серверов новостей, считывает случайное письмо, ищет в нем строку «FROM», и следующие за ней данные использует как электронный адрес жертвы.

Имя зараженного файла в письме выбирается из трех вариантов: MSEFIXI.EXE, LSERIAL.EXE или HOTEENS.EXE. Само сообщение (включая заголовки) также выбирается из трех вариантов:

Сообщение 1 -------------------------------------------------------------

mail from: support@microsoft.com from: support@microsoft.com rcpt to: случайно выбранный адрес to: случайно выбранный адрес Subject: Present security risk using Microsoft Internet Explorer and Outlook Express



A new and dangerous virus has hit the Internet.

DESCRIPTION:

When the email client receives a malicious mail or news message that contains an attachment with a very long filename, it could cause the email to execute arbitrary code automaticly on the client workstation, thus infecting the machine.



Microsoft has been aware of this problem from the very beginning and presents here a patch for the two of our products in which it exploits.

Outlook 98 on Windows 95, Windows 98 and Microsoft Windows NT 4.0 Outlook Express 4.0, 4.01 (including 4.01 with Service Pack 1) on Windows 95, Windows 98 and Windows NT 4.0 Netscape Mail Clients

SOLUTION:

Customers using this products for Windows 95, Windows 98 or Windows NT 4.0 should execute the attached patch or download an updated patch from:

http://www.microsoft.com/outlook/enhancements/outptch2.asp

Please patch your computer(s) as soon as possible and help us fight this threat to the Internet.

Thank for your time.

Microsoft Support <support@microsoft.com>

Сообщение 2 -------------------------------------------------------------

mail from: <cj_roland@quicknet.com> from: <cj_roland@quicknet.com> rcpt to: случайно выбранный адрес to: случайно выбранный адрес Subject: New and even larger serial number list out now!

Hi Do you need a serial number for a unregistrated program of yours? Do you feel like you have looked for it everywhere? Even in the newest version of Phrozen Crews Oscar?

If you can answer -yes- to some of the above questions and are still looking for a serial number, this might be the program you have been waiting for. We have collected serial numbers for many years and are now proud to release the very first version of our serial number collection, which contains more than 15.000 serial numbers. Attached to this message is the very first version of our serial number collection.

Yours, Serial number collectors <cj_roland@quicknet.com>

Сообщение 3 -------------------------------------------------------------

mail from: <opinion@hoteens.com> from: <opinion@hoteens.com> rcpt to: случайно выбранный адрес to: случайно выбранный адрес Subject: New and 100% free XXX site

Dear potential customer, We have just opened a new erotic site with more than 10.000 .JPGs and more than 1.000 .MPG/.VIV/.AVI/.MOV/etc.We offer you the opportunity of a lifetime, we are giving away a months access, without being charged, to our new site in exchange for your opinion. All you have to do is execute the attached advert, which will generate your personal User ID, you dont even have to provide information as your personal credit card number, etc. And if you like our site, please tell all your friends about us.

http://www.hoteens.com/

HoTeens.com <opinion@hoteens.com>


Содержание раздела