Энциклопедия компьютерных вирусов



             

WinNT.Infis


Резидентный WinNT вирус. Работоспособен только под WinNT и не заражает системы под управлением Win9x. Вирус никак не проявляется, однако процедура заражения файлов содержит ошибки, в результате которых некоторые файлы оказываются испорченными вирусом и при запуске вызывают стандартное сообщение WinNT об ошибке в приложении - "<ProgramName> is not a valid Windows NT application".

Вирус остается в памяти WinNT как системный драйвер, перехватывает открытие файлов и заражает PE EXE-файлы (Portable Executable). Вирус заражает файлы только с расширением .EXE и не заражает файл CMD.EXE (командный продессор WinNT). Уже зараженные файлы вирус определяет по полю "дата и время" в PE-заголовке - при заражении файлов вирус записывает в это поле значение -1 (FFFFFFFFh). При заражении вирус увеличивает размер последней секции файла, записывает в нее свой код и модифицирует необходимые поля PE-заголовка, включая стартовый адрес программы. В результате при запуске зараженного файла управление передается на процедуру инсталляции вируса.

Процедура инсталляции копирует вирус в каталог WinNT, регистрирует его в системе и возвращает управление программе-носителю. Таким образом, при запуске зараженного файла вирус не заражает системную память, а лишь инсталлирует в систему свой "дроппер", который затем будет активизирован как системный драйвер WinNT.

При инсталляции своего "дроппера" вирус выделяет из зараженного файла свой "чистый код" (4608 байт) и записывает его в виде отдельного PE-файла с именем INF.SYS в каталог \SystemRoot\system32\drivers (каталог драйверов WinNT). Затем вирус создает в системном реестре ключ автозапуска этого файла, этот ключ содержит три секции:

\Registry\Machine\System\CurrentControlSet\Services\inf Type = 1 - стандартный драйвер WinNT Start = 2 - режим старта драйвера ErrorControl = 1 - игнорировать ошибки

В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске WinNT.

При активизации вирусного "дроппера" (файл INF.SYS) активизируется процедура заражения памяти WinNT, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции WinNT. Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения PE-файлов.




Содержание    Вперед