Wild
הוא מושג המשמש להערכת ווירוסים.
מרכיב זה מודד כמה הווירוס כבר התפשט בפועל. זה כולל: מס איזורים שנפגעו, מס' מחשבים שנפגעו
וכד' . ישנה רשימה של ווירוסים אלה המתעדכנת על ידי ארגון העוסק בנושא. בראש הארגון עומד חוקר הווירוסים
Joe Wells
הדף הבא מכיל רשימות
Wild list
לפי חודשים. הקישורים מופיעים בצד ימין
.
Michenagelo
ווירוס זה התגלה באפריל 91 זהו
Boot Sector virus
והוא פוגע בדיסק הקשיח ובדיסקטים. הוא עלול להיות הרסני כי הוא פוגע
בנתונים בתאריך 6 במרץ ובעוד תאריכים
.
אם מאתחלים את המחשב בדיסקט נגוע, אזורי האתחול הנגועים של הדיסקט
(סקטור 0) ייקראו לזכרון והווירוס ישתלט על המערכת, וידביק את
הדיסק הקשיח כשהאתחול ייסתיים. הוא עושה זאת ע"י העתקת הקוד
שלו לצילינדר 0 סקטור 1 והעברת מידע של
partion
לצילינדר 0 סקטור 7
.
בד"כ לא יאבד מידע מהדיסק הקשיח בעקבות פעולה זו, מכיוון ש-
DOS
לא משתמש בסקטור שבו הווירוס משתמש. אבל אם תכנית שלישית משתמשת
בסקטור זה במהלך פירמוט, לצורך טיפול בסיסמאות, או ע"י דרייברים
עלולות להיווצר בעיות
.
בצורתו המקורית הווירוס היה באורך 480 בתים, והיה מונע גישה לחלק
מזכרון המחשב כך ש-
CHKDSK
היה מדווח על פחות זכרון ממה שיש באמת
.
הווירוס מעביר את אזורי האתחול בדיסקט, לאיזורים שבהם יש את רישום
הספריות כך שאם היו באיזורים אלו רישומים של קבצים וספריות הם נפגעים
.
כאשר המחשב מאותחל מדיסקט פגוע, הווירוס בודק את התאריך וגורם לאובדן
נתונים בתאריך מסויים ספציפי לכל וארינט . כאשר
Michelagelo
תוקף , הוא כותב על תחילת הדיסק
(partion,Boot,FAT) .
כאשר המשתמש מבין שמשהו לא בסדר, מכבה את המחשב ומנסה לגשת לדיסק
מתקבלת ההודעה:
Invalid Drive Specification
כמות הנתונים שנפגעת תלויה במשך הזמן שהווירוס עבד, ככל שהמחשב כובה
מהר יותר פחות נתונים יפגעו
.
לראש העמוד
911Virus
באחד באפריל 2000 הודיע ה-
FBI
על גילוי הווירוס ( וזאת לא היתה מתיחה
) .
הווירוס עובר ממחשב למחשב דרך האינטרנט ועושה זאת
ללא שום פעולה של המשתמש
בעזרת
shared files.
אחרי שהוא מעביר את עצמו למחשבים אחרים
911virus
מנתק את את המודם, מחייג 911 ואחר כך מוחק את כל הדיסק הקשיח
.
הווירוס עבר ברשתות
AOL,AT&T,MCI, NETZERO
באזור יוסטון , אבל אין לדעת לאן הוא עוד יגיע
.
רבים מכם חולקים את הקבצים שלכם באינטרנט ואתם לא יודעים את זה
.
כדי למנוע
file sharing
מומלץ לגלוש ל-
http://grc.com
.
ניתן לבצע שם בדיקות שיראו אם אתם חשופים לאחרים וניתן לקבל שם
כלים כדי להגן על עצמכם
ב-
WINDOWS
הטיפול נעשה דרך:
control pannel,
network ,file and print sharing .
לראש העמוד
ILOVEYOU
הווירוס
ILOVEYOU
שהופיע ב-4.5.2000 היה מאוד פשוט
.
הוא בא כ-
attachment
ניתן להרצה של דואר אלקרוני. ברגע שהקובץ הופעל
הוא שלח את עצמו לכל מי שבספר הכתובות של המשתמש ואח"כ התחיל לפגוע
בקבצים בדיסק הקשיח. זה היה למעשה
סוס טרויאני
.
לראש העמוד
NewLove
זהו
VBS worm
פולימורפי
בעל טכניקת התרבות מעניינת ו-
payload
הרסני
.
הוא מתפשט ע"י
MS-Outlook
בשם קובץ שנבחר אקראית ממחשב נגוע
.
הודעת הדואר מופיעה עם נושא:
FW:
לאחריו שם קובץ ממחשב נגוע
גוף ההודעה ריק
.
לאחר האתחול הוא הורס את כל הקבצים שאינם בשימוש ומוסיף לשמם
vbs.
כאמור ההתפשטות נעשית ע"י בחירת שם קובץ רנדומלי מהמחשב הפגוע
ושליחת מוטציה לכל האנשים בספר הכתובות
.
: לדוגמה , הודעה שלו יכולה להיראות
FW:Myfile.doc
attachment: Myfile.doc.vbs
לראש העמוד
NetLog
זהו
worm
הפוגע במערכות
WINDOWS 95/98/NT/2000
אשר מותקן בהם
Scripting Host .
הוא מתפשט דרך
open shares
במחשבים או ברשתות מחשבים
.
ההשפעות הן שהמחשב מאט ואי אפשר לגשת למחשבים אחרים
.
הקובץ הוא
netlog.vbs
מחשב פגוע חשוף לתוכנית
Back Orifice
שהיא תכנית שנכתבה ע"י קבוצת ההאקרים
CDC ,
תכנית זו נשתלת במחשב שלכם ומאפשרת להאקרים לשלוט במחשב מרחוק
.
כדי לנקות את המחשב יש למחוק את כל מופעי
network.vbs
חוץ מזה הנמצא ב-
C:\WINDOWS\SAMPLES\WSH
שהוא סתם קובץ דוגמה בלתי מזיק
.
מאוחר יותר התגלה וארינט
Netlog.B
וכדי לנקות אותו יש גם את כל מופעי
network.exe .
לראש העמוד
W97M.Melissa
זהו ווירוס מאקרו טיפוסי שיש לו
payload
מיוחד. כאשר משתמש פותח מסמך נגוע, הווירוס מנסה לשלוח בדואר אלקטרוני עותק של המסמך לעד 50 אנשים אחרים בעזרת
MS-Outlook
הווירוס מבטל את ההגנה ב -
MS-Word2000
נגד פתיחת מסמך נגוע. הווירוס פוגע במסמכי
MS-Word2000 , MS-Word97
ע"י הוספת מודול מאקרו בשם
Melissa.
לראש העמוד
Worm.ExploreZip
התגלה לראשונה
בישראל.
ל-
worm
הזה יש
payload
מזיק. הוא משתמש בפקודות
MAPI
וב-
MS-Outlook
כדי להפיץ את עצמו. הוא שולח את עצמו כ-
attachment
בשם:
Zipped_files.exe
כך שגוף ההודעה נראה כאילו נשלח ממישהו מוכר.
המקבל נקבע ע"י מעבר על תיבת "ההודעות הנכנסות"
ברגע שמופעל הקובץ הנ"ל הוא מעתיק את עצמו לספריה של המשתמש ומשנה את הקובץ
WIN.INI
כך שהקוד המזיק יופעל בכל פעם שחלונות יאותחל.הקובץ מוציא כתובות מהמשתמש כדי להפיץ את עצמו. כאשר
הקובץ מופעל הוא מחפש בדיסקים הקשיחים והורס מספר קבצים ע"י הפיכתם
לבעלי אורך 0
.
לראש העמוד
WM.CAP.A
ווירוס זה מורכב מעשרה פריטי מאקרו כולם מוצפנים, לווירוס זה יש תכונת התגנבות
(stealth)
הוא מעלים פריטים מתפריטים ב-
Word
כאשר
Normal.dot
נפגע. דבר זה מונע מהמשתמש לבדוק את רשימת פקודות המאקרו שיש במסמך. אין לווירוס זה
payload.
לראש העמוד
W97M.Ethan.A
זהו ווירוס מאקרו ל-
Word97.
הווירוס שם את הקוד שלו בתחילת מודול
"ThisDocument" VBA .
כאשר סוגרים מסמך נגוע הווירוס,בהסתברות 30% משנה מספר שדות בתפריט
File Summary Information.
ווירוס זה גם מסיר את קובץ הטקסט הזמני
C:\CLASS.SYS
אשר רוב הווארינטים של
W97M.Class
משתמשים בו
.
לראש העמוד
W97M.Marker
זהו ווירוס מאקרו נפוץ עם
payload
מיוחד. הוא מוסיף את הקוד שלו למודול
VBA5
ThisDocument.
הוא משתמש בקובץ טקסט זמני בעל שם רנדומלי בזמן ההדבקה.
ווירוס זה שומר את תאריך ההדבקה ומידע על המשתמש.
ב-1 בחודש הווירוס שולח את המידע הזה לאתר
FTP.
לראש העמוד
PictureNote.Trojan / URLSnoop
הסוס הטרויאני הזה נשלח כ-
attachment
בשם
PICTURE.EXE .
כאשר הקובץ מופעל הוא מחפש מידע של משתמש
AmericaOnline
וכנראה גונב את הסיסמה שלו
.
לראש העמוד
Happy99.Worm
זהו
worm
שנשלח בד"כ כ-
attachment.
ברגע שהוא מופעל הוא מראה זיקוקים ובאותו זמן מעתיק את עצמו כ-
SKA.EXE
וכותב
SKA.DLL
לספריה
Windows\System .
הוא גם משנה את
WSOCK32.DLL
ומשנה את שמו ל-
WSOCK32.SKA
ובצורה כזאת ניתן לגלות כל פעולת התחברות
לרשת.כאשר יש התחברות נטען לזכרון
SKA.DLL
שיוצר דואר אלקטרוני חדש עם
attachment
בשם
UUENCODED HAPPY99.EXE
ואז שולח את הדואר
.
לראש העמוד
XM.Laroux
זהו ווירוס מאקרו לאקסל , הראשון שהיה בתפוצה כללית. הווירוס מורכב משני פריטי מאקרו :
Auto_Open ,Check_Files
הם מוחבאים בגליון נסתר בשם:
Laroux.
כאשר פותחים גליון נגוע, המאקרו
Check_Files
מעתיק את הגליון עם קוד הווירוס לקובץ
"Personal.xls"
כך שכל
Spreadsheet
שיווצר בעתיד, יכיל את הווירוס.
הווירוס לא גורם לנזק מכוון אלא רק מפיץ את עצמו
.
לראש העמוד
W95.CIH / Chernobyl
זהו ווירוס מאוד הרסני, מדביק קבצים ניתנים להרצה 32 ביט
Win 95/98/NT
אבל פועל רק ב-
Win 95/98 .
כאשר תכנית נגועה רצה היא נשארת בזכרון, לכן יש לאתחל מערכת נגועה מדיסקט נקי
לפני
סריקה באנטי ווירוס.
הווירוס גורם לשני סוגי נזקים: הראשון הוא כתיבת נתונים אקראים על
הדיסק הקשיח, והשני נסיון לפיעה בזכרון ה-
BIOS.
לראש העמוד
W97M.Class / Class.Poppy
זהו ווירוס מאקרו פולימורפי
(polymorphic virus)
הוא אינו מוסיף מודול
VBA
חדש, אלא מוסיף קוד למודול
"ThisDocument".
רוב הוואריינטים מציגים הודעות בתאריכים מסויימים של השנה
.
לראש העמוד
Stoned
שם הווירוס בא מהודעה שהוא מציג לפעמים:
"!Your PC is now Stoned"
הווירוס המקורי הציג הודעה זו, אבל וארינטים שלו הציגו
הודעות אחרות או שלא הציגו הודעות כלל. לווירוס זה יש הרבה וארינטים
שרובם פוגעים בדיסקטים וגם בדיסק הקשיח
.
אם מאתחלים את המחשב בדיסקט נגוע, אזורי האתחול הנגועים של הדיסקט
(סקטור 0) ייקראו לזכרון והווירוס ישתלט על המערכת, וידביק את
הדיסק הקשיח כשהאתחול ייסתיים. הוא עושה זאת ע"י העתקת הקוד
שלו לצילינדר 0 סקטור 1 והעברת מידע של
partion
לצילינדר 0 סקטור 7 או לסקטור אחר, תלוי בגרסה
.
בד"כ לא יאבד מידע מהדיסק הקשיח בעקבות פעולה זו, מכיוון ש-
DOS
לא משתמש בסקטור שבו הווירוס משתמש. אבל אם תכנית שלישית משתמשת
בסקטור זה במהלך פירמוט, לצורך טיפול בסיסמאות, או ע"י דרייברים
עלולות להיווצר בעיות
.
בצורתו המקורית הווירוס היה באורך 440 בתים, והיה מונע גישה לחלק
מזכרון המחשב כך ש-
CHKDSK
היה מדווח על פחות זכרון ממה שיש באמת
.
הווירוס מעביר את אזורי האתחול בדיסקט, לאיזורים שבהם יש את רישום
הספריות כך שאם היו באיזורים אלו רישומים של קבצים וספריות הם נפגעים
.
לווירוס זה יש הסטוריה מעניינת. תלמיד צעיר ב-
Wellington
בניו זילנד כתב את הווירוס ב-1987 כבדיחה. הווירוס התפשט ע"י העתקת
דיסקטים. כאשר המחשב אותחל ע"י דיסקט נגוע הופיעה הודעה:
"!Your PC is now Stoned"
והרמקול ציפצף אם השעון היה בזמן 0 או כל אתחול שמיני
.
ההודעה לא הוצגה אם האתחול נעשה בדיסק קשיח. אמנם הוטמנה הודעה
באיזורי האתחול של דיסקטים:
"LEGALISE MARIJUANA"
(יותר השימוש במריחואנה) אך היא לא הוצגה בווירוס המקורי אלא רק
בגרסאות מאוחרות יותר
.
לצערנו אותו תלמיד נתן דיסקט נגוע לחבר אחד לפחות, ובתוך כמה חודשים
הווירוס הגיע לאוסטרליה, הוואי וקליפורניה. מאוחר יותר הווירוס
התפשט בכל העולם וכל זה ע"י העתקת דיסקטים. כותבי ווירוסים
יצרו גירסאות שונות שלו
.
לראש העמוד