מרכז המידע העברי לוירוסים
הקש שם וירוס לחיפוש                 אנציקלופדית וירוסים
חברות אנטי-וירוס סטטיסטיקה וירוסים חדשים אתרים נבחרים


וירוסים נפוצים

Michelangelo
911Virus
ILOVEYOU
NewLove
netlog
W97M.Melissa
Worm.ExploreZip
WM.CAP.A
W97M.Ethan.A
W97M.Marker
PictureNote.Trojan
Happy99.Worm
XM.Laroux
W95.CIH / Chernobyl
W97M.Class / Class.Poppy
Stoned
Wild list

Wild הוא מושג המשמש להערכת ווירוסים. מרכיב זה מודד כמה הווירוס כבר התפשט בפועל. זה כולל: מס איזורים שנפגעו, מס' מחשבים שנפגעו וכד' . ישנה רשימה של ווירוסים אלה המתעדכנת על ידי ארגון העוסק בנושא. בראש הארגון עומד חוקר הווירוסים Joe Wells הדף הבא מכיל רשימות Wild list לפי חודשים. הקישורים מופיעים בצד ימין .

Michenagelo
ווירוס זה התגלה באפריל 91 זהו Boot Sector virus והוא פוגע בדיסק הקשיח ובדיסקטים. הוא עלול להיות הרסני כי הוא פוגע בנתונים בתאריך 6 במרץ ובעוד תאריכים .
אם מאתחלים את המחשב בדיסקט נגוע, אזורי האתחול הנגועים של הדיסקט (סקטור 0) ייקראו לזכרון והווירוס ישתלט על המערכת, וידביק את הדיסק הקשיח כשהאתחול ייסתיים. הוא עושה זאת ע"י העתקת הקוד שלו לצילינדר 0 סקטור 1 והעברת מידע של partion לצילינדר 0 סקטור 7 .

בד"כ לא יאבד מידע מהדיסק הקשיח בעקבות פעולה זו, מכיוון ש- DOS לא משתמש בסקטור שבו הווירוס משתמש. אבל אם תכנית שלישית משתמשת בסקטור זה במהלך פירמוט, לצורך טיפול בסיסמאות, או ע"י דרייברים עלולות להיווצר בעיות .

בצורתו המקורית הווירוס היה באורך 480 בתים, והיה מונע גישה לחלק מזכרון המחשב כך ש- CHKDSK היה מדווח על פחות זכרון ממה שיש באמת .

הווירוס מעביר את אזורי האתחול בדיסקט, לאיזורים שבהם יש את רישום הספריות כך שאם היו באיזורים אלו רישומים של קבצים וספריות הם נפגעים .

כאשר המחשב מאותחל מדיסקט פגוע, הווירוס בודק את התאריך וגורם לאובדן נתונים בתאריך מסויים ספציפי לכל וארינט . כאשר Michelagelo תוקף , הוא כותב על תחילת הדיסק (partion,Boot,FAT) .

כאשר המשתמש מבין שמשהו לא בסדר, מכבה את המחשב ומנסה לגשת לדיסק מתקבלת ההודעה: Invalid Drive Specification כמות הנתונים שנפגעת תלויה במשך הזמן שהווירוס עבד, ככל שהמחשב כובה מהר יותר פחות נתונים יפגעו .

911Virus
באחד באפריל 2000 הודיע ה- FBI על גילוי הווירוס ( וזאת לא היתה מתיחה ) .
הווירוס עובר ממחשב למחשב דרך האינטרנט ועושה זאת ללא שום פעולה של המשתמש בעזרת shared files.
אחרי שהוא מעביר את עצמו למחשבים אחרים 911virus מנתק את את המודם, מחייג 911 ואחר כך מוחק את כל הדיסק הקשיח .
הווירוס עבר ברשתות AOL,AT&T,MCI, NETZERO באזור יוסטון , אבל אין לדעת לאן הוא עוד יגיע .

רבים מכם חולקים את הקבצים שלכם באינטרנט ואתם לא יודעים את זה .
כדי למנוע file sharing מומלץ לגלוש ל- http://grc.com .
ניתן לבצע שם בדיקות שיראו אם אתם חשופים לאחרים וניתן לקבל שם כלים כדי להגן על עצמכם
ב- WINDOWS הטיפול נעשה דרך: control pannel, network ,file and print sharing .




ILOVEYOU
הווירוס ILOVEYOU שהופיע ב-4.5.2000 היה מאוד פשוט .
הוא בא כ- attachment ניתן להרצה של דואר אלקרוני. ברגע שהקובץ הופעל הוא שלח את עצמו לכל מי שבספר הכתובות של המשתמש ואח"כ התחיל לפגוע בקבצים בדיסק הקשיח. זה היה למעשה סוס טרויאני .

NewLove
זהו VBS worm פולימורפי בעל טכניקת התרבות מעניינת ו- payload הרסני .
הוא מתפשט ע"י MS-Outlook בשם קובץ שנבחר אקראית ממחשב נגוע .
הודעת הדואר מופיעה עם נושא: FW: לאחריו שם קובץ ממחשב נגוע
גוף ההודעה ריק .
לאחר האתחול הוא הורס את כל הקבצים שאינם בשימוש ומוסיף לשמם vbs.
כאמור ההתפשטות נעשית ע"י בחירת שם קובץ רנדומלי מהמחשב הפגוע ושליחת מוטציה לכל האנשים בספר הכתובות .

: לדוגמה , הודעה שלו יכולה להיראות

FW:Myfile.doc

attachment: Myfile.doc.vbs


לראש העמוד

NetLog
זהו worm הפוגע במערכות WINDOWS 95/98/NT/2000 אשר מותקן בהם Scripting Host . הוא מתפשט דרך open shares במחשבים או ברשתות מחשבים .
ההשפעות הן שהמחשב מאט ואי אפשר לגשת למחשבים אחרים .
הקובץ הוא netlog.vbs
מחשב פגוע חשוף לתוכנית Back Orifice שהיא תכנית שנכתבה ע"י קבוצת ההאקרים CDC ,
תכנית זו נשתלת במחשב שלכם ומאפשרת להאקרים לשלוט במחשב מרחוק .
כדי לנקות את המחשב יש למחוק את כל מופעי network.vbs חוץ מזה הנמצא ב- C:\WINDOWS\SAMPLES\WSH שהוא סתם קובץ דוגמה בלתי מזיק .

מאוחר יותר התגלה וארינט Netlog.B וכדי לנקות אותו יש גם את כל מופעי network.exe .

W97M.Melissa
זהו ווירוס מאקרו טיפוסי שיש לו payload מיוחד. כאשר משתמש פותח מסמך נגוע, הווירוס מנסה לשלוח בדואר אלקטרוני עותק של המסמך לעד 50 אנשים אחרים בעזרת MS-Outlook הווירוס מבטל את ההגנה ב - MS-Word2000 נגד פתיחת מסמך נגוע. הווירוס פוגע במסמכי MS-Word2000 , MS-Word97 ע"י הוספת מודול מאקרו בשם Melissa.

Worm.ExploreZip
התגלה לראשונה בישראל. ל- worm הזה יש payload מזיק. הוא משתמש בפקודות MAPI וב- MS-Outlook כדי להפיץ את עצמו. הוא שולח את עצמו כ- attachment בשם: Zipped_files.exe כך שגוף ההודעה נראה כאילו נשלח ממישהו מוכר. המקבל נקבע ע"י מעבר על תיבת "ההודעות הנכנסות" ברגע שמופעל הקובץ הנ"ל הוא מעתיק את עצמו לספריה של המשתמש ומשנה את הקובץ WIN.INI כך שהקוד המזיק יופעל בכל פעם שחלונות יאותחל.הקובץ מוציא כתובות מהמשתמש כדי להפיץ את עצמו. כאשר הקובץ מופעל הוא מחפש בדיסקים הקשיחים והורס מספר קבצים ע"י הפיכתם לבעלי אורך 0 .

WM.CAP.A
ווירוס זה מורכב מעשרה פריטי מאקרו כולם מוצפנים, לווירוס זה יש תכונת התגנבות (stealth) הוא מעלים פריטים מתפריטים ב- Word כאשר Normal.dot נפגע. דבר זה מונע מהמשתמש לבדוק את רשימת פקודות המאקרו שיש במסמך. אין לווירוס זה payload.

W97M.Ethan.A
זהו ווירוס מאקרו ל- Word97. הווירוס שם את הקוד שלו בתחילת מודול "ThisDocument" VBA . כאשר סוגרים מסמך נגוע הווירוס,בהסתברות 30% משנה מספר שדות בתפריט File Summary Information. ווירוס זה גם מסיר את קובץ הטקסט הזמני C:\CLASS.SYS אשר רוב הווארינטים של W97M.Class משתמשים בו .

W97M.Marker
זהו ווירוס מאקרו נפוץ עם payload מיוחד. הוא מוסיף את הקוד שלו למודול VBA5 ThisDocument. הוא משתמש בקובץ טקסט זמני בעל שם רנדומלי בזמן ההדבקה. ווירוס זה שומר את תאריך ההדבקה ומידע על המשתמש. ב-1 בחודש הווירוס שולח את המידע הזה לאתר FTP.

PictureNote.Trojan / URLSnoop
הסוס הטרויאני הזה נשלח כ- attachment בשם PICTURE.EXE . כאשר הקובץ מופעל הוא מחפש מידע של משתמש AmericaOnline וכנראה גונב את הסיסמה שלו .

Happy99.Worm
זהו worm שנשלח בד"כ כ- attachment. ברגע שהוא מופעל הוא מראה זיקוקים ובאותו זמן מעתיק את עצמו כ- SKA.EXE וכותב SKA.DLL לספריה Windows\System . הוא גם משנה את WSOCK32.DLL ומשנה את שמו ל- WSOCK32.SKA ובצורה כזאת ניתן לגלות כל פעולת התחברות לרשת.כאשר יש התחברות נטען לזכרון SKA.DLL שיוצר דואר אלקטרוני חדש עם attachment בשם UUENCODED HAPPY99.EXE ואז שולח את הדואר .

XM.Laroux
זהו ווירוס מאקרו לאקסל , הראשון שהיה בתפוצה כללית. הווירוס מורכב משני פריטי מאקרו : Auto_Open ,Check_Files הם מוחבאים בגליון נסתר בשם: Laroux. כאשר פותחים גליון נגוע, המאקרו Check_Files מעתיק את הגליון עם קוד הווירוס לקובץ "Personal.xls" כך שכל Spreadsheet שיווצר בעתיד, יכיל את הווירוס. הווירוס לא גורם לנזק מכוון אלא רק מפיץ את עצמו .

W95.CIH / Chernobyl
זהו ווירוס מאוד הרסני, מדביק קבצים ניתנים להרצה 32 ביט Win 95/98/NT אבל פועל רק ב- Win 95/98 . כאשר תכנית נגועה רצה היא נשארת בזכרון, לכן יש לאתחל מערכת נגועה מדיסקט נקי לפני סריקה באנטי ווירוס. הווירוס גורם לשני סוגי נזקים: הראשון הוא כתיבת נתונים אקראים על הדיסק הקשיח, והשני נסיון לפיעה בזכרון ה- BIOS.

W97M.Class / Class.Poppy
זהו ווירוס מאקרו פולימורפי (polymorphic virus) הוא אינו מוסיף מודול VBA חדש, אלא מוסיף קוד למודול "ThisDocument". רוב הוואריינטים מציגים הודעות בתאריכים מסויימים של השנה .

Stoned
שם הווירוס בא מהודעה שהוא מציג לפעמים: "!Your PC is now Stoned" הווירוס המקורי הציג הודעה זו, אבל וארינטים שלו הציגו הודעות אחרות או שלא הציגו הודעות כלל. לווירוס זה יש הרבה וארינטים שרובם פוגעים בדיסקטים וגם בדיסק הקשיח .

אם מאתחלים את המחשב בדיסקט נגוע, אזורי האתחול הנגועים של הדיסקט (סקטור 0) ייקראו לזכרון והווירוס ישתלט על המערכת, וידביק את הדיסק הקשיח כשהאתחול ייסתיים. הוא עושה זאת ע"י העתקת הקוד שלו לצילינדר 0 סקטור 1 והעברת מידע של partion לצילינדר 0 סקטור 7 או לסקטור אחר, תלוי בגרסה .

בד"כ לא יאבד מידע מהדיסק הקשיח בעקבות פעולה זו, מכיוון ש- DOS לא משתמש בסקטור שבו הווירוס משתמש. אבל אם תכנית שלישית משתמשת בסקטור זה במהלך פירמוט, לצורך טיפול בסיסמאות, או ע"י דרייברים עלולות להיווצר בעיות .

בצורתו המקורית הווירוס היה באורך 440 בתים, והיה מונע גישה לחלק מזכרון המחשב כך ש- CHKDSK היה מדווח על פחות זכרון ממה שיש באמת .

הווירוס מעביר את אזורי האתחול בדיסקט, לאיזורים שבהם יש את רישום הספריות כך שאם היו באיזורים אלו רישומים של קבצים וספריות הם נפגעים .

לווירוס זה יש הסטוריה מעניינת. תלמיד צעיר ב- Wellington בניו זילנד כתב את הווירוס ב-1987 כבדיחה. הווירוס התפשט ע"י העתקת דיסקטים. כאשר המחשב אותחל ע"י דיסקט נגוע הופיעה הודעה: "!Your PC is now Stoned" והרמקול ציפצף אם השעון היה בזמן 0 או כל אתחול שמיני .

ההודעה לא הוצגה אם האתחול נעשה בדיסק קשיח. אמנם הוטמנה הודעה באיזורי האתחול של דיסקטים: "LEGALISE MARIJUANA" (יותר השימוש במריחואנה) אך היא לא הוצגה בווירוס המקורי אלא רק בגרסאות מאוחרות יותר .

לצערנו אותו תלמיד נתן דיסקט נגוע לחבר אחד לפחות, ובתוך כמה חודשים הווירוס הגיע לאוסטרליה, הוואי וקליפורניה. מאוחר יותר הווירוס התפשט בכל העולם וכל זה ע"י העתקת דיסקטים. כותבי ווירוסים יצרו גירסאות שונות שלו .