Энциклопедия компьютерных вирусов



       Здоровые сиски посмотреть.      

Macro.Access/Word97.Cross - часть 2


Обе новые копии вируса также, как и «родители», способны размножаться в «родной» среде и записывать зараженные файлы в «чужое» проложение Office. Однако в обоих случаях код вируса в новых зараженных файлах не полностью совпадает с «родителями»: процедуры Infect и Transfer идентичны, однако полученная пара содержит отличный от «родительского» блок BIN.

«Вскрытие» очередного уровня шестнадцатеричных данных показало, что в них присутствуют еще пара зараженных файлов — база Access и документ Word, но в отличие от предыдущих вирусов эта пара неспособна перемещать свой код из Word в Access и обратно и размножается только в «родном» окружении.

Таким образом первоначальная пара зараженных файлов является «матрешкой»: внутри одного вируса лежит еще один, который в свою очередь содержит третий вирус (Access->Word->Access и Word->Access->Word). Различия между Access-вирусами различных уровней состоит только в блоке BIN, а процедуры Infect и Transfer полностью идентичны (то же справедливо для Word-вирусов), за исключением вируса последнего уровня — в нем отсутствует блоки Transfer и BIN.

Access-вирус 1-го уровня Word-вирус 1-го уровня

+----------------+ +----------------+ |Заражение Access| <--\ /--> |Заражение Word | |----------------| \ / |----------------| |Transfer | <----\ /----> |Transfer | |----------------| \ / |----------------| |BIN | \ / |BIN | +------+---------+ \ / +-------+--------+ | \ / | | \ / | | \/ | | /\ | V / \ V / \ Word-вирус 2-го уровня / \ Access-вирус 2-го уровня / \ +----------------+ / \ +----------------+ |Заражение Word | <----/ \----> |Заражение Access| |----------------| / \ |----------------| |Transfer | <--/ \--> |Transfer | |----------------| |----------------| |BIN | |BIN | +------+---------+ +-------+--------+ | | | | | | V V

Access-вирус 3-го уровня Word-вирус 3-го уровня

+----------------+ +----------------+ |Заражение Access| |Заражение Word | +----------------+ +----------------+

Если проследить «развитие» вирусов снизу вверх, то становится очевидно, что результирующая пара вирусов получена двухшаговым «усовершенствованием» изначальных вирусов 3-го уровня: к ним была добавлена процедура Transfer и дописан блок BIN.С результатом такого «усовершенствования» (с вирусами второго уровня) была проделана аналогичная операция — и в результате появилась пара вирусов, которая затем и была обнаружена в Internet.

Побочным эффектом подобных действий с кодом вирусов является их размер: исходный текст результирующего Access-вируса превышает 370K, а Word-вируса — 160K.




Содержание  Назад  Вперед