Admin
Admin
Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 34
Локација : Smederevo
|
Наслов: PE_Magistr.A 3/7/2009, 17:49 |
|
|
VIRUS INFO Naziv virusa: PE_Magistr.A Alias: IWorm_Magistr, I-Worm.Magistr, W32/Magistr@mm, Magistr.A, W32.Magistr, Troj_Arf_Judge.A, Judge.A, Arf_Judge Tip: Win32 worm Način širenja: e-mailom i zaraženim izvršnim fajlovima Veličina: 25 600 bajtova Destruktivan: da Datum aktiviranja: Otkriven: 12.03.2001.
OBJAŠNJENJE Magistr je veoma opasan memorijski rezidentan virus. Ovaj virus je napisan u Assembleru. Za virus koji je napisan u Assembleru on je jako velik, ali zbog nekih mogućnosti koje još radi … on je jako mali. U 25 600 bajtova je stalo puno toga: inficiranje fajlova, širenje preko e-maila i mrežne, polimorfna svojstva i mnogo anti-debuging i nekih drugih trikova kako bi ovaj virus ostao što duže ne otkriven i još teže da se ukloni sa AV programom/programima. Ovo je jedan od najkomleksnijih virusa koji trenutno postoje. U zavisnosti od različitih uslova i Vašeg računara, ovaj virus će obrisati sve podatke sa Vašeg hard diska/diskova i/ili obrisati sadržaj BIOS-a.
Može da stigne kao e-mail poruka od nekoga koga poznajete a možete da se zarazite i ako startujete zaraženi *.EXE ili *.SCR fajl, a ako ste i umreženi onda ne morate Vi da ga startujete. Dovoljno je da neki Vaš kolega startuje zaraženi fajl, pa će se virus proširiti po svim umreženim računarima a da Vi to ni ne znate.
Kada se zaraženi fajl startuje, virus se sakrije u memoriju i zatim, posle nekoliko minuta čekanja, kreće da inficira *.EXE fajlove na korisnikovom računaru, zatim da šalje e-mail poruke ...
Da bi se virus sakrio u memoriju, koristi program fajl C:\ WINDOWS \ EXPLORER.EXE (Microsoft Windows Explorer) u koji dodaje 110 bajtova koji će kasnije poslužiti da virus može da inficira sve *.EXE i *.SCR fajlove na korisnikovom hard disku/diskovima. Pre nego što virus počne da inficira prvi fajl, virus će sačekati 3 minute i tek onda krenuti u akciju.
Kada virus zarazi prvi fajl, koji se obično nalazi u Windows direktorijumu, ubaciće sledeću liniju u Registry bazu: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run i putanju do fajla koji je prvi zaražen.
Posle ovoga virus ubaci i u WIN.INI fajl u [windows] sekciji pod stavkom "run=" putanju do fajla koji je prvi zaražen. Pošto nikada virus ne inficira isti fajl kao početni, pošto se to razlikuje od korisnika do korisnika, jako je ne zahvalno sada napisati koji fajlovi mogu prvi biti na udaru virusa i napisati odmah kako on ručno da se ukloni.
Sa izmenama u Registry bazi i WIN.INI, virus će se startovati svaki sledeći put kada korisnik bude startovao Windows. Kada se Windows sledeći put bude startovao, virus će početi da pretražuje korisnikov hard disk/diskove u potrazi za fajlovima koji imaju ekstenzije *.EXE i *.SCR.
Prvo će početi da pretražuje u direktorijumima kao što su: WINNT, WINDOWS, WIN95 i WIN98 a zatim će krenuti dalje. Kada zarazi specifične fajlove na korisnikovom računaru a korisnik se nalazi u mreži, virus će preći da zaražava i ostale računare koji su povezani sa korisnikom u mrežu. Na svim zaraženim računarima virus će izmeniti stavku "run=" u WIN.INI fajlu. Tako će i svaki računar koji se nalazi u mreži, prilikom svakog sledećeg startovanja Wndowsa startovati i virus.
Prilikom inficiranja računara, virus će kreirati fajl sa .DAT ekstanzijom za svoje potrebe. Naziv fajla i direktorijum u kom se on nalazi zavisi od naziva kompjutera, da li je umrežen itd. (npr: ako se računar zove WIN98 fajl će se zvati CQL98.DAT). Ovaj fajl može da se nalazi u root-u korisnikovog hard diska, u Windows direktorijumu, u direktorijumu Program Files ...
Virus inficira sve izvršne fajlove sa *.EXE ekstenzijom na kompleksan i težak način da se ukloni. Upisuje svoj glavni kôd sa polimorfnim mehanizmom na kraj fajla. Da bi dobio kontrolu nad inficiranim fajlovima, kôd virusa unosi jednu polimorfnu rutinu koja prolazi kontrolu na kraju fajla i startuje glavni kôd samog virusa.
Po završenom inficiranju korisnikovog računara, virus iskoristi program za e-mail npr. Microsoft Outlook/Outlook Express/Internet Mail and News ili Netscape Navigator, ako ima instaliran na računaru, i pošalje se na sve e-mail adrese koje pronađe u korisnikovom Address Booku. Zbog svojih polimorfnih osobina virus šalje e-mailove koji nisu identični ni po Subject liniji, ni po tekstu poruke a ni po attachmentu koji ide sa tom porukom. Telo poruke je, ako ga ima, sastavljeno od delova tekstova koji postoje na korisnikovom računaru. Naime, virus skenira sve *.DOC i *.TXT fajlove i od tih tekstova nasumice kreira telo poruke. primer... Normalno, attachment koji ide u tom e-mailu sadrži kod ovog virusa. Kao attachment virus iskoristi jedan fajl sa korisnikovog računara koji je manji od 132Kb, koji je pre toga već inficiran a kao attachment može da se nađe i bilo koji korisnikov Microsoft Wordov dokument koji u sebi ne sadrži virusni kod.
Prilikom kreiranja teksta poruke, virus najčešće koristi sledeće reči:
sentences you, ayant délibéré, sentences him tole, présent arręt, sentence you to, vu l',27h,'arręt, ordered to prison, conformément ŕ la loi, convict, exécution provisoire, judge, rdonn, circuit judge, audience publique, trial judge, a fait constater, found guilty, cadre de la procédure, find him guilty, magistrad, affirmed, apelante, judgment of conviction, recurso de apelaci, verdict, pena de arresto, guilty plea, y condeno, trial court, mando y firmo, trial chamber, calidad de denunciante, sufficiency of proof, costas procesales, sufficiency of the evidence, diligencias previas, proceedings, antecedentes de hecho, against the accused, hechos probados, habeas corpus, sentencia, jugement, comparecer, condamn, juzgando, trouvons coupable, dictando la presente, ŕ rembourse, los autos, sous astreinte, en autos aux entiers dépens, denuncia presentada i aux dépens.
Prilikom slanja e-mailova virus koristi 3 različita SMTP servera da se pošalje. U telu poruke može da se pronađe 10 e-mail adresa koje označavaju 10 zadnjih poslanih e-mail adresa na koje se virus poslao. Ovo virusu služi kao neka vrsta History baze jer virus vodi pažnju da se ne pošalje 2 puta na istu e-mail adresu.
U zavisnosti od unutrašnjeg brojača virus može korisniku da zabrani pristup Desktopu i svim ikonicama, ikonice "beže" od miša, da mu "smrzne" miša ... Prilikom zabrane pristupa Desktopu, korisnik ne može da startuje nijednu ikonicu sa Desktopa, kao da ikonica ni ne postoji. "Bežanje" ikonice se manifestuje na taj način, kada korisnik hoće da klikne na neku ikonicu ona se jednostavno izmiče od pokazivača miša. Jednostavno je ne moguće startovati željenu ikonicu jer ona stalno "beži".
Mesec dana po inficiranju korisnikovog računara, virus startuje rutinu koja u sve postojeće fajlove na korisnikovom hard disku/diskovima, i onim koji su u mreži, upiše tekst
"YOUARESHIT".
Ako korisnik na svom računaru ima instaliran Microsoft Windows 9x (verzije 95, 95 SR2, 98, 98 SE), virus će obisati sadržaj BIOS-a i sve podatke na hard diskovima.
Posle ovoga virus će ispisati sledeću poruku: Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT
Virus u svom kodu ima i sledeći tekst koji korisnik ne vidi: ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. Written in Malmo (Sweden)
Virus koristi nekoliko anti-debuging tehnika a najčešće koristi Structured Exception Handling (SEH). Virus, takođe, gleda da li na korisnikovom računaru postoji application-level debugger (kao što je Turbo Debugger) kao i system level debugger (kao što je Soft-Ice za Windows 9x/NT).
U virusnom kôdu postoji i sposobnost da ovaj virus može da "sluša" određene portove, tj. Da mediator može da pristupi Vašem računaru npr., i konekcije na neke IP adrese.
REŠENJE Osveženi AV program a dok to ne uradite možete makar da zaustavite virus da se dalje ne širi, tako što ćete obrisati stavke u Registry bazi koje aktiviraju ovaj virus:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run treba obrisati sve što postoji i u WIN.INI pod sekcijom "run=" odakle se virus svaki put startuje kada startujete Windows.
Preuzmite cleaner za Magistr.A ( download) Preuzmite cleaner za Magistr.B (download )
Time ste samo sprečili njegovo dalje širenje ali ne i skroz da ste ga zaustavili. Sada je potrebno da resetujete računar, osvežite svoj AV progam (ako nije) i da ga pustite da skenira Vaš hard disk/diskove.
|
|