FANDOM


Da non confondersi con Shoe, un virus DOS.

Virus.Win9x.Shoerec, oppure semplicemente Shoerec, è un virus con un payload simile a quello di Magistr. Un'altra parte del suo payload omaggia il virus Brain.

DettagliModifica

Shoerec pare essere un'applicazione fatta con Shockwave Flash player, figurante un piccolo gioco di boxe con testo aggiuntivo, direzioni e riconoscimenti in turco, facendo credere a molti che il luogo di origine sia la Turchia.

Tuttavia, il gioco è infettato dal virus Shoerec, molto pericoloso. Si tratta di un virus parassita criptato per Windows 95 lungo circa 10Kb (per via del suo codice dei file infettati non funziona su Windows NT o Windows ME). È un virus ad azione diretta - scansiona la directory del drive tre volte, cerca file EXE PE e li infetta, ma dietro ad un processo ospite e, come risultato, può restare nella memoria per un lungo periodo di tempo fino a quando il processo ospite è terminato oppure tutti i file su un drive sono scansionati. Per questo, il virus può essere classificato "residente nella memoria tramite processo".

Mentre infetta un file, il virus si scrive alla fine del file nell'ultima sezione del file, aumenta la dimensione della sezione e modifica campi di intestazione PE necessari.

Per ottenere indirizzi per accedere ai file ed altre funzioni, il virus usa un indirizzo valido solo per Win95/98. Esso causa un "errore nell'applicazione" standard quando i file infetti sono eseguiti su Windows NT o ME.

A distanza di circa 4 mesi dall'infezione di un file (e presumendo che il sistema operativo funzioni ancora) e alla esecuzione sullo stesso computer (il virus conserva la data di infezione e il nome del computer mentre infetta), il virus esegue la sua routine di innesco. Questa routine guadagna l'accesso al desktop e muove le icone fuori dalla portata del puntatore quando mosso verso le icone, come se le icone tentassero di scappare dal puntatore, come si vede in uno dei payload di Magistr.

Quando i file sono infettati nel primo, secondo o terzo giorno di qualsiasi mese, il virus li infetta a caso con la sua routine. Quando questi file sono esseguiti circa 7 mesi dopo essere stati infettati, la routine del trojan cancella tutti i file nel drive corrente, crea e sovrascrive a caso il file WIN.COM con spazzatura oppure con il testo, che rivela il nome completo del virus sul drive su cui era installato il sistema operativo:

 (c) 1999 Brain & Amjads (pvt) Ltd   

 VIRUS_SHOE  RECORD  v20.0

 Dedicated to the dynamic memories of millions of virus 

 who are no longer with us today - Thanks

Traduzione:

Dedicato alle memorie dinamiche di milioni di virus

che oggi non sono più tra noi - Grazie

OriginModifica

Shoerec fu postato su newsgroups come i file FUN.EXE, BOXING.EXE oppure NOSTRESS.EXE. La sua icona la faceva sembrare un file Shockwave. Quando eseguito, esso avvia un file Shockwave di un pugile, da cui l'utente può compiere una gamma di mosse.

SourcesModifica

Securelist (Kaspersky Labs), Virus.Win9x.Shoerec

Proland, Shoerec virus

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.