|
| |
Cholera
Virus (PE_CHOLERA.CTX)
Wirus Cholera należy do kategorii tak
zwanych robaków i rozpowszechnia się najczęściej poprzez współużywane napędy
dyskowe. Atakuje programy środowiska Windows, a zakażenie następuje poprzez
uruchomienie zainfekowanego programu, który może być ściągnięty np. z
sieci Internet. Jak dotąd nie potwierdziły się pogłoski o samoistnym
replikowaniu kodu wirusa (stworzonego w Visual C++ v. 6.0) poprzez pocztę
email. Jakkolwiek do tej pory żaden z użytkowników oprogramowania TM nie zgłosił
zakażenia, można się spodziewać znacznego rozpowszechnienia tego wirusa.
Z dotychczasowych analiz wynika, że po uruchomieniu SETUP.EXE na zainfekowanym
systemie wyświetlany jest następujący komunikat:
Cannot open file: it does not appear to be a valid
archive. If you downloaded this file, try downloading the file again.
W tym czasie wirus wykonuje następujące operacje. Kopiuje się pod nazwą
"RPCSRV.EXE", modyfikuje plik WIN.INI dodając linię: RUN=RPCSRV.EXE;
co powoduje, że po każdorazowym uruchomieniu WINDOWS startuje kod wirusa i
jest gotowy do zarażenia innych plików - programów Windows. Cholera posługuje
się specjalną procedurą kodowania, co chroni ja przed wykryciem przez
programy antywirusowe. W kodzie wirusa można znaleźć następujący tekst:
CTX Phage Virus BioCoded by GriYo / 29A Disclaimer:
This software has been designed for research purposes only. The author is not
responsible for any problems caused due to improper or illegal usage of it
Kod wirusa jest wciąż analizowany pod kątem ustalenia ewentualnych skutków
jego działania oraz metod replikacji. Aktualnie jest wykrywany przez programy Trend
Micro z uaktualnieniem 588.
Według oceny ekspertów Cholera powstała w
Hiszpanii i jest częścią badawczego projektu o nazwie SIMBIOSIS. Wirus
zaprojektowano w celu ilustracji w jaki sposób dwa komponenty (Cholera
bacterium i wirus CTX Phage) mogą współdziałać w celu zwiększenia możliwości
zakażenia poprzez rozszerzenia infekcji. Jak już wspomniano Cholerę stworzono
używając Visual C++ v 6.0, jego objetość wynosi 36 kB. Wirus importuje tylko
kilka API z KERNEL32, inne moduły DLL i API znajdują się w wersji runtime.
Program wirusa zakodowano, w związku z tym przy jego edycji nie jest widoczny
żaden łańcuch tekstowy.
Przypuszcza się, że Cholera może przenosić się wykorzystując pocztę
email. Autor wirusa zapewnia, że wykorzystuje w tym celu własne procedury
SMTP, MIME i BASE64, dzięki czemu generuje wysyłanie poczty bez udziału MAPI
i programu Outlook.
Zachęcamy do zapoznania się z ofertą Trend
Micro oraz ściągnięcia najnowszego uaktualnienia
!
Zachęcamy do odwiedzenia naszego SKLEPU
, zapoznania się z założeniami PROFILAKTYKI
ANTYWIRUSOWEJ
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
| |
|
