|
Tremor.4000Tremor je polymorfní virus, který napadá programy typu COM (o délce 8192 až 55039 bytů)
a EXE (o délce 8192 až 1048576 bytů) a je paměťově rezidentní. Při
spuštění napadeného programu se virus nejprve dekóduje, a pak testuje
aktuální datum. Pokud od data napadení dosud neuplynuly alespoň 3 měsíce,
případně je soubor v jiném adresáři než byl napaden, virus modifikuje
vlastní kód a neprojevuje se žádnými zvukovými ani obrazovými efekty.
Dále virus testuje svou přítomnost v operační paměti pomocí přerušení 21h
funkce 0F1E9h. Pokud je virus již v paměti aktivní, nebo je verze MS-DOSu
menší než 3.30 je řízení předáno napadenému programu. V případě, že virus
dosud v paměti není, instaluje se do paměti XMS nebo do UMB. Pokud
se nepovede ani jedna z těchto variant, instaluje se na vrchol základní
operační paměti. Přitom si v paměti alokuje 4288 bytů. Virus pomocí
přerušení 01h testuje jednak možnou přítomnost debuggerů, jednak si zjistí
adresu přerušení 21h, kterou pak používá k přímému volání jádra systému.
Adresy přerušení 21h a 15h přesměruje do nepoužité oblasti MCB hostitelského
programu a odtud pak skáče přímo do své rezidentní části. Infikuje program
specifikovaný proměnnou „COMSPEC", nejčastěji COMMAND.COM a spustí původní
program. Tremor používá techniky stealth. Pokud je virus aktivní,
monitoruje činnost systému a informace, které by mohli vésti k jeho
odhalení, předává systému ve zkreslené formě. Například při dotazu na délku
souboru předá původní délku napadených souborů atd. Při spuštění programu,
virus testuje, zda jméno souboru nezačíná „CH",„ME", „MI", „F2", „F-", „SY", „SI" a „PM".
Pokud ano, provede změny v alokaci paměti, takže například program CHKDSK
vrací jakoby správné hodnoty velikosti volné paměti. Virus nenapadá
programy začínající znaky „SC", „CL" nebo „HB". Virus také testuje, zda
druhý a třetí znak jména programu je „RJ". V takovém případě začne dávat
systému pravdivé informace o souborech. Znamená to, že archivy ARJ budou
obsahovat virus, kdežto například v ZIPech virus nebude. Podobně kopie
zdravého i napadeného souboru vytvořené pomocí systémového COPY virus
neobsahují, zatímco obě kopie udělané pomocí Nortona jsou infikovány.
Zjistí-li virus přítomnost antivirového programu FLU-SHOT+, soubor nenapadne
a přestane se jakkoliv projevovat. Tremor také testuje přítomnost
antivirového programu VSAFE z MS-DOSu 6.00. Pomocí speciálních funkcí
přerušení 13h umí virus uvést VSAFE do neaktivního stavu a po napadení
souboru zase zaktivovat.
Virus otevře soubor a přečte si posledních dvacet bytů. Vcelku jednoduše
je dekóduje a pokud obsahují slovo „DEAD" a datum souboru je zvětšené o
100 let předpokládá, že je soubor již napaden. V opačném případě virus
přihraje svou zakódovanou kopii na konec napadeného programu, přesměruje
počáteční skok nebo změní hodnotu v hlavičce EXE souboru a spustí původní
program. Napadené soubory prodlužuje o 4000 bytů, datum napadených souboru
zvětšuje o 100 let. Při volání přerušení 15h vypisuje uvedenou zprávu.
Při volání přerušení 21h posouvá celou obrazovku doleva a doprava o jeden znak.
-=> T·R·E·M·O·R was done by NEUROBASHER / May-June'92, Germany <=-
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus může být odstraněn buď zrušením napadených souborů a jejich
nahrazením z originálních disket, nebo pomocí programu pro testování
integrity souborů (pokud jej ovšem pravidelně používáte).
Zdroj: Alwil software - výrobce antiviru AVAST
|
|