Энциклопедия компьютерных вирусов
         

Win32.Ruff


Опасный резидентный Windows-вирус. При запуске зараженного файла сканирует ядро Windows и вычисляет адреса необходимых ему функций, затем инсталлирует свой код в память Windows и заражает запускаемые PE EXE-файлы. При заражении создает в конце файла секцию с именем "Ruff" и записывает в нее свой код. Для перехвата запуска файлов вирус устанавливает на свой код адрес Windows-функции CreateProcessA.

Инсталляция в системную память выполняется за два этапа. На первом этапе вирус перебирает все процессы, загруженные в память, и ищет процесс с именем EXPLORER. Затем вирус перебирает все модули процесса EXPLORER и ищет модуль с именем SHELL32. Затем в таблице импортов SHELL32 вирус ищет адрес импортируемой функции CreateProcessA, который затем и устанавливает на свой код (т.е. перехватывает функцию CreateProcessA).

Вирус затем записывает небольшую процедуру в адреса памяти, занимаемые процессом EXPLORER. Запись производится в память, занимаемую DOS-заголовком EXPLORER.EXE, а сама записываемая процедура содержит 168 байт кода, которые затем завершают инсталляцию вируса в память. Для завершения первого этапа инсталляции вирус создает файл C:\SWAP и записывает туда свой код. Затем вирус возвращает управление программе-носителю.

Таким образом после завершения первого этапа инсталляции код вируса записан в файле C:\SWAP, а 168-байтная процедура в заголовке процесса EXPLORER перехватывает запуск файлов - функцию CreateProcessA.

При запуске первого же файла вирус выполняет второй этап инсталляции: выделяет себе блок системной памяти, считывает в него свою копию из файла C:\SWAP (который затем удаляет с диска) и изменяет адрес перехватчика CreateProcessA, который затем указывает на основной код вируса.

Вирус уделяет внимание антивирусам AVP и DrWeb: при инсталляции в системную память ищет и завершает процессы с именами AVP*, WEB* и DRW; а при запуске этих программ уничтожает все файлы в каталоге, из которого они стартуют.

По причине ошибок вирус неспособен размножаться под Win95.

Вирус содержит текст:

We are the Ruffest ! (c) Charly



Содержание раздела