Win95.Boza
Win95.Boza — первый известный компьютерный вирус для операционной системы Windows 95[1]. Является первым известным вирусом, заражающим файлы формата Portable Executable.
История
В момент выхода Windows 95 в 1995 году, компания Microsoft была уверена, что система защищена от вирусов и других вредоносных программ, но производители антивирусов сомневались в этом заявлении. В феврале 1996 года исследователями из США и Великобритании был обнаружен вирус Win95.Boza — при каждом запуске инфицированной программы он присоединяется еще к трем программам, иногда безвозвратно повреждая их.
Производители антивирусных средств начали незамедлительно исследовать вирус и искать способы нейтрализовать его. Антивирусный центр компании Symantec установил, что вредоносная программа создана известной группой разработчиков вирусов VLAD из Австралии. В скором времени вирус был обезврежен.
Действие
При запуске, вирус ищет файлы формата NE или PE, при нахождении создает в файле дополнительную секцию и записывает в нее свой код. После заражения, вирус использует вызовы GetDir, SetDir, FindFirst, FindNext, OpenFile, LSeek, Read, Write и CloseFile напрямую в KERNEL32 без использования ссылок на KERNEL32.DLL, как это делают обычные Win95-программы. Для того чтобы найти нужный адрес в KERNEL32, вирус проверяет код KERNEL32 по двум адресам, если по какому-либо из этих адресов находится некоторый код (код обработчика функций?), вирус использует этот адрес для вызова перечисленных выше функций. Если же этот код не обнаружен в KERNEL32, вирус возвращает управление программе-носителю.
Вирус запоминает имя текущего каталога, ищет EXE-файлы, проверяет их на наличие PE-сигнатуры, затем увеличивает на единицу поле NumberOfSections в заголовке PE, добавляет еще один заголовок секции (с именем ".vlad") и записывает свой код в конец файла. Новый заголовок секции создается таким образом, что код вируса получает управление при запуске зараженного файла. При запуске вирус ищет и заражает не более трех файлов. Если в текущем каталоге нет незараженных EXE-файлов, то он переходит на один каталог выше. Перед возвращением управления программе-носителю, вирус переходит в первоначальный каталог, имя которого запоминает перед началом поиска файлов. Вирус проверяет системную дату и по 31-м числам выводит Message Box с заголовком Bizatch by Quantum / VLAD и текстом в окне:
The taste of fame just got tastier! VLAD Australia does it again with the world's first Win95 Virus From the old school to the new.. Metabolis Qark Darkman Automag Antigen RhinceWind Quantum Absolute Overlord CoKe
В вирусе есть ошибки, и иногда зараженные файлы оказываются испорченными. При запуске таких файлов Windows 95 выводит сообщение об ошибке.
Примечания
- ↑ First virus infects Windows 95 (англ.). The Independent (4 февраля 1996). Дата обращения: 19 июля 2023. Архивировано 19 июля 2023 года.
Ссылки
Content Disclaimer
Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.
- The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
- There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
- It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
- Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
- Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.