Энциклопедия компьютерных вирусов

         

Win.CyberTech


Очень опасный резидентный NewEXE-вирус. При запуске зараженного файла записывается в ядро Windows (KERNEL - KRNL286.EXE или KRNL386.EXE) и возвращает управление программе-носителю. При загрузке системы с зараженным KERNEL вирус перехватывает системный вызов WinExec (запуск файлов) и записывается в конец NewEXE-файлов при их запуске. При заражении KERNEL вирус определяет его handle функцией GetModuleHandle, записывает туда свой код и правит системные таблицы таким образом, что адрес процедуры WinExec указывает на код вируса. При загрузке зараженного KERNEL вирус остается в памяти как часть KERNEL. Так как адрес WinExec уже установлен на код вируса, то при запуске файлов вирус получает управление и заражает их. Вирус определяет уже зараженные файлы по строке "LROY", которую при заражении помещает в поле контрольной суммы в заголовке NewEXE. В зависимости от системной даты и номера текущего дня вирус выводит MessageBox с заголовком:

Chicago 7: Cyber riot

Текст внутри MessageBox зависит от дня. В апреле, начиная с 29-го, 1 мая вирус выводит:

Happy anniversary, Los Angeles! Anarchists of the world, unite!

По пятницам до 13-го числа:

When the levee breaks, I have no place to stay... (Crying won't help you. Praying won't do you no good.)

6 марта и в декабре с 1-го по 26-е:

Save the Whale, harpoon a fat cat.

После вывода сообщения вирус стирает сектора дисков. Вирус также содержит строки:

USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.) Sommer 1993: 15 Windowscomputerviren

Coming soon: Diet riot. Same great aftertaste--fewer bytes.

Source code avaiable for $15,000,000. Serious inquiries only.

Why does IBM need to lay me off? Oh well, their loss. McAfee's FUD equation: !!!!!!+??????=$$$$$$

Convict the pigs

This program was written in the cities of Hamburg, Chicago, Seattle and Berkeley. Copyright (C) 1993 Klash/Skism/George J/Phalcon/Henry Buscombe and 2 ex-Softies, collectively known as the Chicago 7.



Содержание раздела