Win32.HLLP.HiddenDragon/Win32.Hidrag/Jeefo - файловый вирус, который представляет собой резидентную Windows-программу ( т.е. PE EXE-файл).
Дееспособен под всеми существующими на сегодняшний день ОС Windows.
В коде вируса содержатся следующие зашифрованные тексты:
Hidden Dragon virus. Born in a tropical swamp.
Manages the power save features of the computer.
Power Manager
PowerManagerMutant
Свое первое название - "Hidrag" - вирус получил по фрагментам первого текста - "Hidden Dragon".
Второе - "Jeefo" - по фрагменту кода этого же текста в зашифрованном виде, который случайным образом выглядит в теле вируса как "I jeefo !".

Код программы Win32.HLLP.HiddenDragon защищен крипт-кодом, который расшифровывается при запуске вируса с помощью специально встроенной процедуры расшифровки прямо в память машины без создания каких-либо временных файлов. Cостоит из двух частей - основного кода и дополнительной секции, в которой вирус может хранить служебную информацию.

Инсталирует себя в систему двумя способами (в зависимости от того, из какого файла производится его 1-й запуск на чистом компьютере - из того, в котором содержится только оригинальная вирусная программа, или из зараженного .ехе файла):


1. При запуске зараженно файла вирус определяет имя каталога, в который установлена ОС Windows, и копирует себя в него под названием
C:\WINDOWS\svchost.exe
Данный файл обладает следующими характерными особенностями:
- размер файла: 36352 байта;
- атрибуты: "Архивный" и "Системный" ("Аrchive" и "Hidden", благодаря чему при настройках системы "по умолчанию" данный файл невозможно обнаружить, т.к. Windows не показывает "скрытые" файлы);
- дата модификации: 24.08.2001 года (всегда одна и та же);
Файл svchost.exe остается резидентно в памяти компьютера вплоть до завершения работы Windows. Для возможности активизации этого файла при каждом старте системы вирус создает ключ под названием "PowerManager" в регистрах автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="C:\\WINDOWS\\SVCHOST.EXE"

Также вирус расшифровывает и записывает в дополнительную секцию данного файла цифровую подпись, которая полностью идентична подписи Microsoft и передрана из одноименного системного файла Windows XP - WINDOWS\SYSTEM32\svchost.exe. В результате этого, вирус получает возможность маскироваться в системе под внутренний сервисный процесс.

2. Если же 1-й запуск вируса производится из файла, содержащего только код вируса (т.е. из идентичного файлу svchost.exe), то инсталляция осуществляется следующим образом: вирус считывает имя запущенного вирусного файла и создает в регистрах автозапуска системного реестра ключ под названием "PowerManager" следующего вида:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%path%\\name.ext"

, где %path% - местоположение запущенного вирусного файла, а name.ext - его название. Таким образом, роль компонента svchost.exe выполняет запущенный пользователем файл с оригинальной вирусной программой. При этом в системном каталоге файл svchost.exe не создается. Если в дальнейшем будет запущен какой-либо из зараженных файлов, то svchost.exe будет создан в системном каталоге, однако вирус не будет дописывать в системный реестр дополнительный ключ и активным по-прежнему останется вышеописанный файл.
После инсталляции в систему вирус ждет несколько минут, не производя никаких действий, чтобы скрыть свое присутствие в системе и какую-либо видимую активность. Затем начинает поиск и заражение PE .exe и .scr файлов. Этот процесс протекает по следующей схеме: сперва вирус ищет 6 файлов указанных форматов в корневом системном каталоге. Затем останавливает процесс поиска и заражения файлов, ждет 5-10 минут и заражает еще 6 файлов, после чего опять ждет указанный промежуток времени и возобновляет данную процедуру и так пока не будут заражены абсолютно все .exe и .scr файлы на данном компьютере (вирус не трогает лишь те файлы, размер которых меньше 110 кб).
Перед заражением каждого файла, чтобы скрыть свое присутствие в системе, вирус считывает атрибуты файла, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних.

При заражении файлов вирус обходит атрибут "только для чтения" ("read only") и использует довольно сложный алгоритм записи своего кода в файлы. Разбирать который мы здесь, наверное, все-таки не будем Единственное, что следует отметить, что процедура реконструкции оригинального файла с последующим шифрованием его секций выполнена на высоком профессиональном уровне, в результате чего размер оригинальной программы после ее заражения не изменяется, а общий размер файла увеличивается ровно на 36352 байта (т.е. только на величину вирусного тела).

При запуске зараженного файла вирусная копия, хранящаяся в нем, проверяет инсталлирован ли вирус в систему, после чего осуществляются следующие вещи:
- управление получает находящаяся в нашем файле копия вируса, которая обращается к файлу WINDOWS\svchost.exe и вызывает в нем специальную подпроцедуру, после чего работа зараженного файла завершается;
- получив вызов от своей копии из зараженного файла, вирусный svchost.exe (далее просто "вирус") считывает его (зараженного файла) местоположение и сохраняет данную информацию в системной памяти как переменную А;
- по данным из переменной А вирус находит наш зараженный файл, расшифровывает и считывает из него ту часть кода, которая содержит схему реконструкции оригинальной программы после заражения, и сохраняет эти данные в системной памяти как переменную В;
- далее вирус считывает характеристики зараженного файла (его атрибуты, дату и время модификации) и сохраняет эти данные в системной памяти как переменную С;
- затем вирус удаляет свою копию из нашего зараженного файла, а также блок со схемой его (файла) реконструирования, после чего, руководствуясь данными из переменной В, расшифровывает закриптованные блоки зараженного файла, а затем переставляет все блоки файла к исходному виду, который он (файл) имел до заражения;
- и последнее, что делает вирус, - это присваивает файлу соответствующие характеристики, которые считывает из переменной С, удаляет из памяти переменные А,В,С и пересохраняет файл, после чего запускает его на выполнение.

Такой способ лечения вируса самим вирусом довольно оригинальный и даже на маломощных машинах вызывает задержку при запуске оригинальной программы из зараженного файла максимум всего на пару секунд.
Однако есть и негативная сторона: при запуске зараженного файла с носителя, на который невозможна поточная запись (например, CD-диск или флэшка/дискета с джампером, переключенным в положение "блокировка записи"), оригинальная программа просто не запустится. Также она не сможет быть запущена и в том случае, если зараженный файл запускается на чистой от Win32.HLLP.HiddenDragon машине, но в директории WINDOWS которой уже присутствует активная программа какого-либо др. вируса или троянца с названием svchost.exe.

----------------------------------

Win32.Parasite - резидентный зашифрованный вирус-паразит, использующий для своего распространения тела Windows-приложений (PE файлы).
Дееспособен под всеми существующими на сегодняшний день Windows-системами.
Вирус не способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего только вирусный код), т.к. выполнен в виде логического программного блока, внедряемого в Windows-приложения и использующего заголовки зараженных им файлов для получения управления и последующего запуска. Поражает системные файлы с расширениями .ехе и .scr.

Код вируса представляет собой совокупность 2-х компонентов:
1. Дроппер (активатор основной программы), имеющий размер около 2-3 кб. Данный компонент предназначен для распаковки и запуска основного компонента вируса из тела зараженного файла, а также запуска оригинальной программы при обращении системы или пользователя к зараженному файлу.
2. Основной компонент, производящий поиск и заражение файлов, а также хранящий в системной памяти служебную информацию. Представляет собой DLL-файл (библиотеку-модуль вируса). В теле зараженного файла данный компонент содержится в сжатом и зашифрованном виде.

При запуске зараженного файла управление получает дроппер-код вируса, который расшифровывает и распаковывает до первого уровня компрессии основной компонент, после чего запускает его на выполнение. Получив управление, основной компонент через функции %windir% и %temp% определяет местоположения каталогов с установленной ОС Windows и временных файлов системы (поддиректории "TEMP"). Обычно таковыми являются:

для Windows 9X/ME:
C:\WINDOWS и C:\WINDOWS\TEMP соответственно;

для Windows 2000/2000Server/XP/2003Server:
C:\WINDOWS и C:\Documents and Settings\имя пользователя\Local Settings\TEMP соответственно,

Расшифрованный и распакованный основной компонент копирует свой код в TMP-файл:

для Windows 9X/ME:
C:\WINDOWS\TEMP\*.tmp
для Windows 2000/2000Server/XP/2003Server:
C:\Documents and Settings\%user%\Local Settings\TEMP\*.tmp

, где в качестве "звездочки" файлу присваивается случайное имя, состоящее из 7 символов, среди которых могут быть цифры, а также большие и малые латинские буквы, например:
jjb71C1.tmp
dha8244.tmp
и т.д.

Данный компонент (TMP-файл) руководит всеми процессами вируса. Размер данного файла составляет 176128 байт. Основная программа вируса получает управление при каждом старте Windows и остается резидентно в памяти машины вплоть до окончания работы системы. Это происходит при помощи специально созданного вирусом скрытого ключа под названием "PINF" в регистрах автозапуска системы с ссылкой на свой TMP-файл:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"PINF"=hex:[значение ключа в hex-кодировке]

Чтобы скрыть созданный ключ, вирус записывает значение ключа не в обычном виде, а в машинной кодировке "HEX-Code".
Благодаря данному ключу, вирус получает возможность активизироваться при каждом старте системы как модульное приложение основного системного процесса "EXPLORER.EXE". Благодаря такому способу активизации, вирусный процесс не фигурирует ни в одном из системных списков активных процессов, а также недоступен для обнаружения и просмотра в памяти даже специализированным утилитам.

Через короткое время после открытия зараженного файла на чистой машине вирус начинает искать PE .ехе и .scr файлы.
Затем проверяет их на оригинальность и соответствие некоторых специфических условий, после чего копирует свой код из запущенного зараженного файла во все обнаруженные программные файлы.
Вирусный код дописывается в конец файлов. Чтобы получать управление при запуске зараженного файла, вирус корректирует заголовок оригинальной программы: изменяет "точку входа", заменяя оригинальный стартовый адрес ссылкой на стартовый адрес своего кода, располагающегося в конце файла, а информацию об исходном (оригинальном) адресе зараженной программы шифрует и записывает в конец своего кода.
Перед заражением каждого файла, чтобы скрыть свое присутствие в машине, вирус считывает атрибуты файла, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних.
Размер файлов после заражения увеличивается примерно на 178 кб - точного значения нет, т.к. вирус дописывает в конец своего кода некоторое количество служебной информации касательно изменений, произведенных им в коде зараженного файла.

Каждый файл заражается вирусом только 1 раз.

--------------------

Кстати, это был совсем не полный список файловых вирусов, которые заражают .ехе файлы, это было лишь то, что действительно часто встречаеться а так список и описание можно продолжить на много-много страниц: Alar, Alfa, Anthrax, Aria, Autumnal, Baphometh, Bootache, Breeder, Civil, Chloride, Changsha, Codewar, CrazyEddie, CriCri, Crusade, Crusher... просто это наврятли кому-нибудь нужно.