Interested Article - Win95.Boza

Win95.Boza - первый известный компьютерный вирус для ОС Windows 95 .

История

Обнаружен исследователями из США и Великобритании в феврале 1996 года . Компания Microsoft была полностью уверена, что недавно вышедшая на тот момент Операционная система " Windows 95 " полностью защищена от вирусов и других вредоносных программ, но производители антивирусов так уверены не были. Поэтому, благодаря слабой защите всех операционных систем на то время, за небольшой промежуток времени был создан первый вирус для Windows 95 - Win95.Boza.

Вирус Boza заражает программы для Windows 95 (а по совместительству — и еще для одной Операционной системы фирмы Microsoft — Windows NT). При каждом запуске инфицированной программы он присоединяется еще к трем программам, иногда безвозвратно повреждая их.

Разрушение программ не входило в замыслы авторов вируса и является следствием допущенной ими ошибки. Авторы вредоносной программы желали лишь известности. Поэтому 30 числа каждого месяца Boza выдавал на экран зараженного компьютера текст: The taste of fame just got tastier! (ru Вкус славы становится все сильнее!).

Так, почти сразу же производители антивирусных средств начали, соревнуясь в скорости, исследовать опасную новинку и предлагать средства борьбы с ней. Так, антивирусный центр компании Symantec , пользуясь своими связями в "международном вирусном подполье", установил, что Boza создан известной группой разработчиков вирусов VLAD из Австралии .

Вирус недолго держался на плаву, так как быстро был уничтожен.

Примечания

  1. (англ.) . The Independent (4 февраля 1996). Дата обращения: 19 июля 2023. 19 июля 2023 года.

Работа Вируса

При запуске данная вредоносная программа ищет NewEXE( PE )-файлы, создает в файле дополнительную секцию и записывает в нее свой код. Является первым известным вирусом, заражающим PE-файлы (Win95). При заражении вирус использует вызовы GetDir, SetDir, FindFirst, FindNext, OpenFile, LSeek, Read, Write и CloseFile, причем делает эти вызовы напрямую в KERNEL32 без использования ссылок на KERNEL32.DLL , как это делают обычные Win95-программы. Для того чтобы найти нужный адрес в KERNEL32, вирус проверяет код KERNEL32 по двум адресам. Если по какому-либо из этих адресов находится некоторый код (код обработчика функций?), вирус использует этот адрес для вызова перечисленных выше функций. Если же этот код не обнаружен в KERNEL32, вирус возвращает управление программе-носителю. Алгоритм работы вируса довольно прост: вирус запоминает имя текущего каталога, ищет EXE -файлы, проверяет их на наличие PE-сигнатуры, затем увеличивает на единицу поле NumberOfSections в заголовке PE, добавляет еще однин заголовок секции (с именем ".vlad") и записывает свой код в конец файла. Новый заголовок секции создается таким образом, что код вируса получает управление при запуске зараженного файла. При запуске вирус ищет и заражает не более трех файлов. Если в текущем каталоге нет незараженных EXE-файлов, то он переходит на один каталог выше. Перед возвращением управления программе-носителю вирус переходит в первоначальный каталог, имя которого запоминает перед началом поиска файлов. Вирус проверяет системную дату и по 31-м числам выводит Message Box, в заголовке которого находится строка:

Bizatch by Quantum / VLAD

а в самом окне текст:

The taste of fame just got tastier! VLAD Australia does it again with the world's first Win95 Virus From the old school to the new.. Metabolis Qark Darkman Automag Antigen RhinceWind Quantum Absolute Overlord CoKe

В вирусе есть ошибки, и иногда зараженные файлы оказываются испорченными. При запуске таких файлов Windows 95 выводит сообщение об ошибке.

Сам вирус довольно безопасный, и удалить его было не очень сложно.

Ссылки

Источник —

Same as Win95.Boza