DalÜφ srovnßvacφ testy skener∙...
[26.8.99]
Souhrn novinek za poslednφch n∞kolik dn∙...Nove viry na scΘn∞:
Jednß se o pam∞¥ov∞ rezidentnφ polymorfnφ virus. èφ°φ se pod Win32 a infikuje PE EXE soubory s p°φponou EXE a SCR. Taky infikuje soubor KERNEL32.DLL. P°i infekci souboru vytvß°φ virus novou sekci do kterΘ ulo₧φ svoje zak≤dovanΘ t∞lo. Virus vklßdß do hlaviΦky PE EXE souboru °et∞zec "666", podle n∞ho₧ poznß, ₧e soubor je ji₧ infikovßn. Virus nenapadß soubory:
_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXEVirus p°evezme 16 funkcφ (z KERNEL32.DLL), kterΘ se pou₧φvajφ v∞tÜinou p°i manipulaci se soubory. P°i volßnφ t∞chto funkcφ pak dochßzφ k infekci souboru, se kter²m se manipuluje.
25. prosince se Win32.Kriz aktivuje: v tento den p°epφÜe obsah pam∞ti CMOS a vÜechny soubory na vÜech discφch. Pak jeÜt∞ volß rutinu, kterß se pokouÜφ p°epsat Flash BIOS (je vyu₧ita stejnß funkce jako u viru CIH - ╚ernobyl).
Nerezidentnφ "fast-infector" virus, kter² byl rozeslßn do n∞kter²ch emailov²ch konferencφ. Virus je dlouh² 7800 bajt∙. Po spuÜt∞nφ infikovanΘho souboru dochßzφ k infekci dalÜφch padesßti a₧ sta soubor∙ (trvß to ·dajn∞ i 20 sekund). P∙vodnφch 7800 bajt∙ prßv∞ infikovanΘho souboru je p°esunuto na konec, kde je virus zak≤duje. Svoje t∞lo pak zapφÜe na zaΦßtek souboru (vΦetn∞ hlaviΦky). P°i spuÜt∞nφ takovΘho souboru nejprve dojde k aktivaci viru, kter² pak p°edß kontrolu zp∞t p∙vodnφmu k≤du. Virus se dokß₧e Üφ°it prost°ednictvφm kanßl∙ IRC.<
