VIRUS INFO
|
| Naziv
virusa: |
PE_Magistr.A |
| Alias:
|
IWorm_Magistr,
I-Worm.Magistr, W32/Magistr@mm, Magistr.A,
W32.Magistr, Troj_Arf_Judge.A, Judge.A, Arf_Judge |
| Tip: |
Win32
worm |
| Način
širenja: |
e-mailom
i zaraženim izvršnim fajlovima |
| Veličina: |
25
600 bajtova |
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
12.03.2001.
|
OBJAŠNJENJE
Magistr
je veoma opasan memorijski rezidentan virus.
Ovaj virus je napisan u Assembleru. Za
virus koji je napisan u Assembleru on je
jako velik, ali zbog nekih mogućnosti koje još
radi … on je jako mali. U 25 600 bajtova je stalo
puno toga: inficiranje fajlova, širenje preko
e-maila i mrežne, polimorfna svojstva i mnogo
anti-debuging i nekih drugih trikova kako bi ovaj
virus ostao što duže ne otkriven i još teže da
se ukloni sa AV programom/programima. Ovo je jedan
od najkomleksnijih virusa koji trenutno postoje.
U zavisnosti od različitih uslova i Vašeg računara,
ovaj virus će obrisati sve podatke sa Vašeg hard
diska/diskova i/ili obrisati sadržaj BIOS-a.
Može
da stigne kao e-mail poruka od nekoga koga poznajete
a možete da se zarazite i ako startujete zaraženi
*.EXE ili *.SCR fajl, a ako ste
i umreženi onda ne morate Vi da ga startujete.
Dovoljno je da neki Vaš kolega startuje zaraženi
fajl, pa će se virus proširiti po svim umreženim
računarima a da Vi to ni ne znate.
Kada
se zaraženi fajl startuje, virus se sakrije
u memoriju
i zatim, posle nekoliko minuta čekanja,
kreće da inficira *.EXE fajlove
na korisnikovom računaru, zatim da šalje
e-mail poruke ...
Da bi
se virus sakrio u memoriju, koristi program fajl
C:\ WINDOWS \ EXPLORER.EXE (Microsoft Windows
Explorer) u koji dodaje 110 bajtova koji će kasnije
poslužiti da virus može da inficira sve *.EXE
i *.SCR fajlove na korisnikovom hard disku/diskovima.
Pre nego što virus počne da inficira prvi
fajl, virus će sačekati 3 minute i tek
onda krenuti u akciju.
Kada
virus zarazi prvi fajl, koji se obično nalazi
u Windows direktorijumu, ubaciće sledeću liniju
u Registry bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Run i putanju do
fajla koji je prvi zaražen.
Posle
ovoga virus ubaci i u WIN.INI fajl u [windows]
sekciji pod stavkom "run=" putanju
do fajla koji je prvi zaražen.
Pošto nikada virus ne inficira isti fajl
kao početni, pošto se to razlikuje od
korisnika do korisnika, jako je ne zahvalno
sada napisati koji fajlovi mogu prvi biti
na udaru virusa i napisati odmah kako
on ručno da se ukloni.
Sa izmenama
u Registry bazi i WIN.INI, virus će se
startovati svaki sledeći put kada korisnik bude
startovao Windows.
Kada se Windows sledeći put bude startovao, virus
će početi da pretražuje korisnikov hard disk/diskove
u potrazi za fajlovima koji imaju ekstenzije *.EXE
i *.SCR.
Prvo
će početi da pretražuje u direktorijumima kao
što su: WINNT, WINDOWS, WIN95
i WIN98 a zatim će krenuti dalje.
Kada zarazi specifične fajlove na korisnikovom
računaru a korisnik se nalazi u mreži,
virus će preći da zaražava i ostale računare
koji su povezani sa korisnikom u mrežu.
Na svim zaraženim računarima virus će
izmeniti stavku "run="
u WIN.INI fajlu. Tako će i svaki
računar koji se nalazi u mreži, prilikom
svakog sledećeg startovanja Wndowsa startovati
i virus.
Prilikom
inficiranja računara, virus će kreirati fajl sa
.DAT ekstanzijom za svoje potrebe. Naziv
fajla i direktorijum u kom se on nalazi zavisi
od naziva kompjutera, da li je umrežen itd. (npr:
ako se računar zove WIN98 fajl će se zvati
CQL98.DAT).
Ovaj fajl može da se nalazi u root-u korisnikovog
hard diska, u Windows direktorijumu, u direktorijumu
Program Files ...
Virus
inficira sve izvršne fajlove sa *.EXE ekstenzijom
na kompleksan i težak način da se ukloni. Upisuje
svoj glavni kôd sa polimorfnim mehanizmom na kraj
fajla. Da bi dobio kontrolu nad inficiranim fajlovima,
kôd virusa unosi jednu polimorfnu rutinu koja
prolazi kontrolu na kraju fajla i startuje glavni
kôd samog virusa.
Po završenom
inficiranju korisnikovog računara, virus
iskoristi program za e-mail npr. Microsoft
Outlook/Outlook Express/Internet Mail
and News ili Netscape Navigator, ako ima
instaliran na računaru, i pošalje se na
sve e-mail adrese koje pronađe u korisnikovom
Address Booku. Zbog svojih polimorfnih
osobina virus šalje e-mailove koji nisu
identični ni po Subject liniji, ni po
tekstu poruke a ni po attachmentu koji
ide sa tom porukom.
Telo poruke je, ako ga ima, sastavljeno
od delova tekstova koji postoje na korisnikovom
računaru. Naime, virus skenira sve *.DOC
i *.TXT fajlove i od tih tekstova
nasumice kreira telo poruke. Primer...
Normalno, attachment koji ide u tom e-mailu
sadrži kod ovog virusa. Kao attachment
virus iskoristi jedan fajl sa korisnikovog
računara koji je manji od 132Kb, koji
je pre toga već inficiran a kao attachment
može da se nađe i bilo koji korisnikov
Microsoft Wordov dokument koji u sebi
ne sadrži virusni kod.
Prilikom kreiranja teksta poruke, virus
najčešće koristi sledeće reči:
sentences
you, ayant délibéré, sentences him tole, présent
arręt, sentence you to, vu l',27h,'arręt, ordered
to prison, conformément ŕ la loi, convict, exécution
provisoire, judge, rdonn, circuit judge, audience
publique, trial judge, a fait constater, found
guilty, cadre de la procédure, find him guilty,
magistrad, affirmed, apelante, judgment of conviction,
recurso de apelaci, verdict, pena de arresto,
guilty plea, y condeno, trial court, mando y firmo,
trial chamber, calidad de denunciante, sufficiency
of proof, costas procesales, sufficiency of the
evidence, diligencias previas, proceedings, antecedentes
de hecho, against the accused, hechos probados,
habeas corpus, sentencia, jugement, comparecer,
condamn, juzgando, trouvons coupable, dictando
la presente, ŕ rembourse, los autos, sous astreinte,
en autos aux entiers dépens, denuncia presentada
i aux dépens.
Prilikom
slanja e-mailova virus koristi 3 različita SMTP
servera da se pošalje.
U telu poruke može da se pronađe 10 e-mail adresa
koje označavaju 10 zadnjih poslanih e-mail adresa
na koje se virus poslao. Ovo virusu služi kao
neka vrsta History baze jer virus vodi pažnju
da se ne pošalje 2 puta na istu e-mail adresu.
U zavisnosti
od unutrašnjeg brojača virus može korisniku da
zabrani pristup Desktopu i svim ikonicama, ikonice
"beže" od miša, da mu "smrzne"
miša ...
Prilikom zabrane pristupa Desktopu, korisnik ne
može da startuje nijednu ikonicu sa Desktopa,
kao da ikonica ni ne postoji.
"Bežanje" ikonice se manifestuje na
taj način, kada korisnik hoće da klikne na neku
ikonicu ona se jednostavno izmiče od pokazivača
miša. Jednostavno je ne moguće startovati željenu
ikonicu jer ona stalno "beži".
Mesec
dana po inficiranju korisnikovog računara, virus
startuje rutinu koja u sve postojeće fajlove na
korisnikovom hard disku/diskovima, i onim koji
su u mreži, upiše tekst
"YOUARESHIT".
Ako
korisnik na svom računaru ima instaliran Microsoft
Windows 9x (verzije 95, 95 SR2, 98, 98 SE), virus
će obisati sadržaj BIOS-a i sve podatke
na hard diskovima.
Posle
ovoga virus će ispisati sledeću poruku:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
Virus
u svom kodu ima i sledeći tekst koji korisnik
ne vidi:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler. Written in Malmo
(Sweden)
Virus
koristi nekoliko anti-debuging tehnika a najčešće
koristi Structured Exception Handling (SEH).
Virus, takođe, gleda da li na korisnikovom računaru
postoji application-level debugger (kao
što je Turbo Debugger) kao i system
level debugger (kao što je Soft-Ice
za Windows 9x/NT).
U virusnom
kôdu postoji i sposobnost da ovaj virus može da
"sluša" određene portove, tj. Da mediator
može da pristupi Vašem računaru npr., i konekcije
na neke IP adrese.
REŠENJE
Osveženi
AV program a dok to ne uradite možete
makar da zaustavite virus da se dalje
ne širi, tako što ćete obrisati stavke
u Registry bazi koje aktiviraju ovaj virus:
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run
treba obrisati sve što postoji i u
WIN.INI pod sekcijom "run="
odakle se virus svaki put startuje kada
startujete Windows.
Preuzmite
cleaner za Magistr.A ( 
)
Preuzmite cleaner za Magistr.B (
)
Time
ste samo sprečili njegovo dalje širenje
ali ne i skroz da ste ga zaustavili. Sada
je potrebno da resetujete računar, osvežite
svoj AV progam (ako nije) i da ga pustite
da skenira Vaš hard disk/diskove.
|
