Altro messaggio interessante dalla stessa list
Pierluigi
-----Original Message-----
Da: Gianluca <gianluca@hotpop.com>
A: <Recipient list suppressed>
Inviato il: giovedì 9 settembre 1999 21.47
Oggetto: WIN32.KRIZ
>----------------------------------------------------------------------
>
>
Allarme
VIRUS Natalizio
>----------------------------------------------------------------------
>
(comunicato
stampa)
>
>Abbiamo ricevuto dagli amici della Panda Antivirus questo comunicato
>che pubblichiamo integralmente:
>
>
>CMOS E FLASH MEMORIES : PRIMI OBIETTIVI DI WIN32.KRIZ
>
>Panda rileva ed elimina questo virus, ed e' l unico sviluppatore in
>grado di disinfettare il file di libreria Kernel32.DLL
>
>
>
>
>
>Milano 31/8/1999
>
>Win32.Kriz e' un virus residente polimorfico
che agisce sulle
>piattaforme Win32 (Windows 95,Windows 98 e Windows NT) e
infetta i
>files eseguibili (estensioni EXE), i files salva schermo (estensioni
>SCR) e il file di sistema Kernel32.DLL.
Sebbene la sua routine
>polimorfica sia abbastanza semplice, il virus si nasconde in diversi
>programmi complicando la disinfestazione.
>
>Le istruzioni distruttive di Win32Kriz entrano in
azione il 25
>Dicembre. Se per quella data, piu' di 256 files EXE o SCR sono stati
>violati, il virus cancella la memoria CMOS (che contiene fra le altre
>informazioni, quelle relative alla data ,all ora, al tipo di hard-disk
>etc.) danneggiando la memoria FLASH e sovrascrivendo su tutti i files
>contenuti in ogni drive della rete.
>
>La prima volta che un file infettato da Win32.Kriz e' eseguito in un
>sistema pulito, la routine polimorfica raccoglie
e decripta i
>rimanenti codici virali controllando in ordine sequenziale
l area
>residente di Kernel32 per definire gli indirizzi dei seguenti API:
>
>CopyFileA , CreateFileA,
CreateProcessA, DeleteFileA,
>GetFileAttributesA, MoveFileA, MoveFileExA,
SetFileAttributesA,
>CopyFileW, CreateFileW,
CreateProcessW,
DeleteFileW,
>GetFileAttributesW, MoveFileW, MoveFileExW,
SetFileAttributesW,
>CloseHandle, CreateFileMappingA,
FindClose, FindFirstFileA,
>FindNextFileA, FreeLibrary, GetCurrentDirectory,
GetDriveTypeA,
>GetFileSize, GetLocalTime, GetLogicalDriveStringsA, GetProcAddress,
>GetSystemDirectoryA, GetTickCount, GetWindowsDirectory, GlobalAlloc,
>GlobalFree, LoadLibraryA, MapViewOfFile,
SetCurrentDirectory,
>SetFileTime, UnmapViewOfFile, WriteFile, WritePrivateProfile.
>
>Il virus calcola il CRC 16 del nome delle API che KERNEL32 esporta e
>le paragona con la lista di quelli che gli servono per infettare in
>ordine sequenziale il file KERNEL32.DLL. A quel punto sovrascrive la
>posizione di questi API con i corrispondenti indirizzi della routine
>virale.
>
>Win32.Kriz copia il file
KERNEL32.DLL (dalla directory
>c:\windows\system) e lo rinomina come KRIZED.TT6 e
lo infetta,
>calcolando il checksum corretto in modo da non generare problemi di
>esecuzione in Windows NT. Una volta che KRIZED.TT6 temp file e' stato
>infettato, il virus crea un file
WININIT.INI che rimpiazza
>automaticamente l originale KERNEL.32DLL . In questo modo dopo , con
>il riavvio del sistema, Win32.Kriz resta residente
per l intera
>sessione, anche se non vengono eseguiti altri file infetti . In questa
>prima sessione, il virus non e' residente in memoria
e non puo'
>infettare altri file. Quando il sistema e' riavviato con una copia di
>KERNEL32.DLL infettato, Win32.Kriz puo'
attaccare ogni file
>accessibile dopo che l API intercettato viene utilizzato.
>
>
>
>Win32.Kriz contiene il seguente testo:
>
>(c) T2 & Immortal Riot
>
>YOU CALL IT RELIGION, YOU'RE FULL OF SHIT
>
>YOU NEVER KNEW, YOU NEVER DID, YOU NEVER WILL
>
>YOU'RE SO FULL OF SHIT, I DON'T WANT TO HEAR IT
>
>ALL YOU DO IS TALK ABOUT YOURSELF
>
>I DON'T WANNA HEAR IT, COZ I KNOW NONE OF IT'S TRUE
>
>I'M SICK AND TIRED OF ALL YOUR GODDAMN LIES
>
>LIES IN THE NAME OF GOD
>
>WHEN ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT?!
>
>I KNOW YOU'RE SO FULL OF SHIT, SO SHUT YOUR FUCKING MOUTH
>
>YOU KEEP ON TALKING, TALKING EVERYDAY
>
>FIRST YOU'RE TELLING STORIES, THEN YOU'RE TELLING LIES
>
>WHEN THE FUCK ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT!!
>
>AH, SHUT THE FUCK UP...
>
>
>
>Panda rileva ed elimina Win32.Kriz ed e' l unico
sviluppatore di
>antivirus in grado di disinfettare il file Kernel32.DLL. Per
fare
>questo, il computer deve essere avviato in MS-DOS in quanto il file
>infetto viene usato da modalita' Windows allo start-up.
>
>http://www.pandasoftware.com.
>
_\\|//_
>
(
O-O ) Web: http://bcc.freeweb.org
>--------------------------o00--(_)--00o-------------------------------
>| Gianluca
|" B.C.C. 98
|
>| e-mail Internet: gianluca@HotPOP.com
ICQ: 10060110
|
>--------------------------.ooO_____Ooo.-------------------------------
>
(
) | | ( )
>
\_)
| | (_/
> ,| |,
>** Periodicita' di lettura msg: ogni due giorni **
>
collaborare - mailing list - soci