Tremor.4000

Tremor je polymorfnφ virus, kter² napadß programy typu COM (o dΘlce 8192 a₧ 55039 byt∙) a EXE (o dΘlce 8192 a₧ 1048576 byt∙) a je pam∞¥ov∞ rezidentnφ. P°i spuÜt∞nφ napadenΘho programu se virus nejprve dek≤duje, a pak testuje aktußlnφ datum. Pokud od data napadenφ dosud neuplynuly alespo≥ 3 m∞sφce, p°φpadn∞ je soubor v jinΘm adresß°i ne₧ byl napaden, virus modifikuje vlastnφ k≤d a neprojevuje se ₧ßdn²mi zvukov²mi ani obrazov²mi efekty. Dßle virus testuje svou p°φtomnost v operaΦnφ pam∞ti pomocφ p°eruÜenφ 21h funkce 0F1E9h. Pokud je virus ji₧ v pam∞ti aktivnφ, nebo je verze MS-DOSu menÜφ ne₧ 3.30 je °φzenφ p°edßno napadenΘmu programu. V p°φpad∞, ₧e virus dosud v pam∞ti nenφ, instaluje se do pam∞ti XMS nebo do UMB. Pokud se nepovede ani jedna z t∞chto variant, instaluje se na vrchol zßkladnφ operaΦnφ pam∞ti. P°itom si v pam∞ti alokuje 4288 byt∙. Virus pomocφ p°eruÜenφ 01h testuje jednak mo₧nou p°φtomnost debugger∙, jednak si zjistφ adresu p°eruÜenφ 21h, kterou pak pou₧φvß k p°φmΘmu volßnφ jßdra systΘmu. Adresy p°eruÜenφ 21h a 15h p°esm∞ruje do nepou₧itΘ oblasti MCB hostitelskΘho programu a odtud pak skßΦe p°φmo do svΘ rezidentnφ Φßsti. Infikuje program specifikovan² prom∞nnou äCOMSPEC", nejΦast∞ji COMMAND.COM a spustφ p∙vodnφ program. Tremor pou₧φvß techniky stealth. Pokud je virus aktivnφ, monitoruje Φinnost systΘmu a informace, kterΘ by mohli vΘsti k jeho odhalenφ, p°edßvß systΘmu ve zkreslenΘ form∞. Nap°φklad p°i dotazu na dΘlku souboru p°edß p∙vodnφ dΘlku napaden²ch soubor∙ atd. P°i spuÜt∞nφ programu, virus testuje, zda jmΘno souboru nezaΦφnß äCH",äME", äMI", äF2", äF-", äSY", äSI" a äPM". Pokud ano, provede zm∞ny v alokaci pam∞ti, tak₧e nap°φklad program CHKDSK vracφ jakoby sprßvnΘ hodnoty velikosti volnΘ pam∞ti. Virus nenapadß programy zaΦφnajφcφ znaky äSC", äCL" nebo äHB". Virus takΘ testuje, zda druh² a t°etφ znak jmΘna programu je äRJ". V takovΘm p°φpad∞ zaΦne dßvat systΘmu pravdivΘ informace o souborech. Znamenß to, ₧e archivy ARJ budou obsahovat virus, kde₧to nap°φklad v ZIPech virus nebude. Podobn∞ kopie zdravΘho i napadenΘho souboru vytvo°enΘ pomocφ systΘmovΘho COPY virus neobsahujφ, zatφmco ob∞ kopie ud∞lanΘ pomocφ Nortona jsou infikovßny. Zjistφ-li virus p°φtomnost antivirovΘho programu FLU-SHOT+, soubor nenapadne a p°estane se jakkoliv projevovat. Tremor takΘ testuje p°φtomnost antivirovΘho programu VSAFE z MS-DOSu 6.00. Pomocφ specißlnφch funkcφ p°eruÜenφ 13h umφ virus uvΘst VSAFE do neaktivnφho stavu a po napadenφ souboru zase zaktivovat.
Virus otev°e soubor a p°eΦte si poslednφch dvacet byt∙. Vcelku jednoduÜe je dek≤duje a pokud obsahujφ slovo äDEAD" a datum souboru je zv∞tÜenΘ o 100 let p°edpoklßdß, ₧e je soubor ji₧ napaden. V opaΦnΘm p°φpad∞ virus p°ihraje svou zak≤dovanou kopii na konec napadenΘho programu, p°esm∞ruje poΦßteΦnφ skok nebo zm∞nφ hodnotu v hlaviΦce EXE souboru a spustφ p∙vodnφ program. NapadenΘ soubory prodlu₧uje o 4000 byt∙, datum napaden²ch souboru zv∞tÜuje o 100 let. P°i volßnφ p°eruÜenφ 15h vypisuje uvedenou zprßvu. P°i volßnφ p°eruÜenφ 21h posouvß celou obrazovku doleva a doprava o jeden znak.
-=> T╖R╖E╖M╖O╖R was done by NEUROBASHER / May-June'92, Germany <=-
           -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Virus m∙₧e b²t odstran∞n bu∩ zruÜenφm napaden²ch soubor∙ a jejich nahrazenφm z originßlnφch disket, nebo pomocφ programu pro testovßnφ integrity soubor∙ (pokud jej ovÜem pravideln∞ pou₧φvßte).

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.