Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Tremor.4000

Tremor je polymorfní virus, který napadá programy typu COM (o délce 8192 až 55039 bytů) a EXE (o délce 8192 až 1048576 bytů) a je paměťově rezidentní. Při spuštění napadeného programu se virus nejprve dekóduje, a pak testuje aktuální datum. Pokud od data napadení dosud neuplynuly alespoň 3 měsíce, případně je soubor v jiném adresáři než byl napaden, virus modifikuje vlastní kód a neprojevuje se žádnými zvukovými ani obrazovými efekty. Dále virus testuje svou přítomnost v operační paměti pomocí přerušení 21h funkce 0F1E9h. Pokud je virus již v paměti aktivní, nebo je verze MS-DOSu menší než 3.30 je řízení předáno napadenému programu. V případě, že virus dosud v paměti není, instaluje se do paměti XMS nebo do UMB. Pokud se nepovede ani jedna z těchto variant, instaluje se na vrchol základní operační paměti. Přitom si v paměti alokuje 4288 bytů. Virus pomocí přerušení 01h testuje jednak možnou přítomnost debuggerů, jednak si zjistí adresu přerušení 21h, kterou pak používá k přímému volání jádra systému. Adresy přerušení 21h a 15h přesměruje do nepoužité oblasti MCB hostitelského programu a odtud pak skáče přímo do své rezidentní části. Infikuje program specifikovaný proměnnou „COMSPEC", nejčastěji COMMAND.COM a spustí původní program. Tremor používá techniky stealth. Pokud je virus aktivní, monitoruje činnost systému a informace, které by mohli vésti k jeho odhalení, předává systému ve zkreslené formě. Například při dotazu na délku souboru předá původní délku napadených souborů atd. Při spuštění programu, virus testuje, zda jméno souboru nezačíná „CH",„ME", „MI", „F2", „F-", „SY", „SI" a „PM". Pokud ano, provede změny v alokaci paměti, takže například program CHKDSK vrací jakoby správné hodnoty velikosti volné paměti. Virus nenapadá programy začínající znaky „SC", „CL" nebo „HB". Virus také testuje, zda druhý a třetí znak jména programu je „RJ". V takovém případě začne dávat systému pravdivé informace o souborech. Znamená to, že archivy ARJ budou obsahovat virus, kdežto například v ZIPech virus nebude. Podobně kopie zdravého i napadeného souboru vytvořené pomocí systémového COPY virus neobsahují, zatímco obě kopie udělané pomocí Nortona jsou infikovány. Zjistí-li virus přítomnost antivirového programu FLU-SHOT+, soubor nenapadne a přestane se jakkoliv projevovat. Tremor také testuje přítomnost antivirového programu VSAFE z MS-DOSu 6.00. Pomocí speciálních funkcí přerušení 13h umí virus uvést VSAFE do neaktivního stavu a po napadení souboru zase zaktivovat.
Virus otevře soubor a přečte si posledních dvacet bytů. Vcelku jednoduše je dekóduje a pokud obsahují slovo „DEAD" a datum souboru je zvětšené o 100 let předpokládá, že je soubor již napaden. V opačném případě virus přihraje svou zakódovanou kopii na konec napadeného programu, přesměruje počáteční skok nebo změní hodnotu v hlavičce EXE souboru a spustí původní program. Napadené soubory prodlužuje o 4000 bytů, datum napadených souboru zvětšuje o 100 let. Při volání přerušení 15h vypisuje uvedenou zprávu. Při volání přerušení 21h posouvá celou obrazovku doleva a doprava o jeden znak.
-=> T·R·E·M·O·R was done by NEUROBASHER / May-June'92, Germany <=-
           -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus může být odstraněn buď zrušením napadených souborů a jejich nahrazením z originálních disket, nebo pomocí programu pro testování integrity souborů (pokud jej ovšem pravidelně používáte).

Zdroj: Alwil software - výrobce antiviru AVAST


Zpět