Msg : Prev 1037 / 4681 Next +1039
1995-12-19 12:35:00

To  : All

Subj:

Zhengxi


============================================================================= 
* Forwarded by Eugeni Tatarincev (2:4615/4.9) 
* Area : SU.VIRUS (SU.VIRUS) 
* From : Igor Daniloff, 2:5020/69.14 (18 Dec 95 20:57) 
* To : All 
* Subj : Zhengxi 
============================================================================= 
Hello All! 

Hекий субъект буквально "забомбардировал" разные BBS города-героя 
Санкт-Петербурга модификациями вируса Zhengxi. Как правило, вирусы 
распространялись на различных версиях Aidstest'а. Видимо, данный тип посчитал 
свои произведения сверхгениальными, если так велико было его желание 
продемонстрировать миру свои произведения. 
Hекоторые его гениальные идеи были почерпнуты из эхи RU.HACKER и 
старательно воплощены в жизнь. 
Hе качайте антивирусы из различных BBS, лучше приобретайте их в более 
надежных источниках! 
Dr. Web версии 3.08 (появится в аптеках через 2-4 дня) детектирует данные 
вирусы и лечит инфицированные файлы. 


Zhengxi.7271, 7307, 7313 
Hеопасные резидентные полиморфные стелс-вирусы. Инфицированные файлы 
содержат два "длинных" полиморфных расшифровщика. Первый декриптор 
расшифровывает основное тело вируса и второй декриптор, после чего 
отдает управление второму декриптору, который продолжает расшифровывать 
основной вирусный код. Расшифровка производится не последовательно байт 
за байтом или слово за словом, а произвольными "прыжками" по всему телу 
вируса. При получении управления основной вирусный код перехватывает 
INT 01 и трассирует оригинальный обработчик INT 21h. Данная трассировка 
производится для поиска определенной последовательности байт, 
присутствующих, как правило, во всех версиях DOS. При нахождении данной 
последовательности байт вирус внедряет в оригинальный обработчик INT 
21h косвенный межсегментный CALL на "длинный" прямой JUMP, находящийся 
также в оригинальном обработчике. Данный JUMP указывает на вирусный 
обработчик INT 21h. В дальнейшем резидентная копия может "перемещаться" 
по различным сегментам памяти, в том числе, и в области UMB. После 
перехвата INT 21h вирус строит два полиморфных расшифровщика для 
восстановления исходных 22 байт заголовка инфицированного EXE-файла. 
При заражении файла вирус шифрует данные байты с помощью полиморфных 
механизмов, основанных на некоторых случайных стартовых значениях. При 
восстановлении данных байтов вирус также использует данные полиморфные 
механизмы. Для файлов, инфицированных описанным выше методом, активный 
резидентный вирус использует стелс-алгоритмы. о также вирус использует 
еще один вариант заражения EXE-файлов, длина которых больше 32K. При 
заражении таких файлов вирус считывает 6144 байт, следующих сразу за 
EXE-заголовком и пытается найти последовательность байт, обычно 
используемых в процедурах, написанных на языках высокого уровня. Если 
данные байты найдены, то вирус производит некоторые дополнительные 
проверки и внедряет вместо байт процедуры 84 байта собственного кода, 
сохранив предварительно оригинальный программный код, шифрует 
полиморфным методом основной вирусный код, который записывает в конец 
файла-жертвы. Внедренный в середину программы код из 84 байт, при 
получении управления, определяет имя стартовавшей программы, 
устанавливает указатель на смещение вирусного тела в файле, считывает 
из него 112 байт кода в область программного стека, расшифровывает его 
и передает ему управление. Данный 122-байтный код считывает из файла 
исходные 84 байта программной процедуры в их "законное" место и также 
расшифровывает их. Затем вирус пытается получить свободный блок памяти, 
(возможно в области UMB) и читает из инфицированного файла в этот блок 
памяти полиморфнозашифрованный основной вирусный код и передает ему 
управление. После собственной расшифровки вирус перехватывает INT 21h, 
описанным выше способом и возвращает управление программе- 
вирусоносителю. Т.о., вирус из такой инфицированной программы может 
"выпрыгнуть", может "не выпрыгнуть" или "выпрыгнуть" при определенных 
условиях, например, при задании определенного ключа в командной строке. 
Для таких инфицированных файлов стелс-алгоритм вируса не работает. 
Т.к., для файлов инфицированных первым способом, вирус "включает" 
стелс-механизм, то, например, при архивировании зараженных EXE-файлов в 
архивных файлах окажутся уже "здоровые" файлы. о автор вируса 
предусмотрел и этот вариант. При запуске некоторых архиваторов (ARJ, 
ZIP,..) для архивации файлов вирус создает файл со случайным именем от 
2 до 5 букв и расширением COM, и записывает в него свою полиморфную 
копию. В результате архивный файл, наряду с "излеченными" EXE-файлами 
будет содержать и COM-файл с телом вируса. При запуске такого файла 
будет выведено сообщение "Abnormal program termination".Вирусы содержат 
текст: 

The Virus/DOS 0.54 Copyright (c) 1995 Zhengxi Ltd 
Warning! This program for internal use only! 

Для пострадавших от данного вируса привожу имя их создателя: 
Денис Петров 2:5030/287.14. 


ID И. Данилов 

-+- GoldED/2 2.50+ 
+ Origin: ID, Igor Daniloff, St.Petersburg, [email protected] (2:5020/69.14) 
============================================================================= 

Приветствую вас уважаемый/ая/ All! 

Гы-гы ;-) А как они узали адрес интересно! 
И действительно-ли он так крут? 

С уважением, : Eugeni Tatarincev 

... This tagline is SHAREWARE! To register, send me $3 or more. 
--- GoldED 2.50+ 
* Origin: Секс без дивчины - пpизнак дуpачины! Чей-то (C). (2:4615/4.9) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + End, чтобы перейти к последнему сообщению
Пользовательского поиска