ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Ameaças Virus MSWord

Virus.MSWord.Story

Classe
Virus
Plataforma
MSWord

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Virus

Os vírus replicam nos recursos da máquina local. Ao contrário dos worms, os vírus não usam serviços de rede para propagar ou penetrar em outros computadores. Uma cópia de um vírus só chegará aos computadores remotos se o objeto infectado, por algum motivo não relacionado à função de vírus, estiver ativado em outro computador. Por exemplo: ao infectar discos acessíveis, um vírus penetra em um arquivo localizado em um recurso de rede, um vírus se copia para um dispositivo de armazenamento removível ou infecta um arquivo em um dispositivo removível que um usuário envia um email com um anexo infectado.

Plataforma: MSWord

O Microsoft Word (MS Word) é um popular processador de texto e parte do Microsoft Office. Os arquivos do Microsoft Word têm uma extensão .doc ou .docx.

Descrição

Detalhes técnicos

Esse macro-vírus contém uma macro que possui nomes automáticos diferentes em documentos infectados ("Document_Open") e na área de macros globais (NORMAL.DOT - "Document_Close"). Como resultado, o vírus é ativado na abertura e no fechamento do documento. Ele infecta a área de macros globais após a abertura do documento infectado e se espalha para outros documentos após o fechamento.

Ao infectar, o vírus também desativa a proteção contra vírus de macro do Word (Alerta de Vírus), além de desabilitar os menus do Word: "Ferramentas / Macro", "Ferramentas / Personalizar ...", "Exibir / Barras de Ferramentas", "Exibir / Status Barra".

O vírus tem uma linha de comentário que é usada pelo vírus para separar documentos infectados e não infectados. Este texto aparece da seguinte maneira: 

Jack-in-the-box

O vírus tem capacidade de verme e espalha sua cópia através de canais de IRC. Para fazer isso, o worm de vírus procura o cliente mIRC instalado em um sistema e cria um novo arquivo SCRIPT.INI. O vírus procura o cliente mIRC em apenas um diretório, o C: MIRC, e falha em infectar o mIRC no caso quando ele é instalado em qualquer outro diretório. Ao infectar o cliente mIRC, o vírus também desativa suas mensagens de aviso de segurança. Para se espalhar através dos canais de IRC, o vírus envia o documento infectado C: WINDOWSSTORY.DOC que é criado pelo vírus quando infecta um sistema. O vírus simplesmente salva o documento atual (infectado) lá.

O arquivo de script do vírus contém um conjunto de comandos mIRC (cerca de 4.5Kb de instruções do mIRC) que executam várias funções, incluindo a disseminação por canais, exibição de mensagens, envio de mensagens de spam e ocultação de si mesmo.

O vírus envia sua cópia (o documento STORY.DOC) em três instâncias:

instância 1. Ao receber qualquer arquivo de qualquer pessoa via IRC, o script de vírus envia imediatamente de volta o arquivo STORY.DOC infectado.

instância 2. O vírus usa a lista de notificação do mIRC. A lista de notificação no cliente mIRC contém uma lista de nicks e, no caso de qualquer um desses nicks aparecer na rede, o cliente atual é informado disso (recebe a notificação). No caso em que um cliente mIRC afetado é notificado sobre essa pessoa, o vírus realiza o seguinte: remove esse nick da lista de notificação; ignora todas as mensagens deste nick; e em 5 segundos, envia uma mensagem, que por sua vez é seguida 15 segundos depois por uma cópia do vírus (documento do Word infectado - C: WINDOWSSTORY.DOC). A mensagem que é enviada para o nick aparece da seguinte maneira: 

Ei, eu não posso falar agora, mas eu queria te enviar esse arquivo. Tem umhistória engraçada que você deve ler, e também tem macros dentro que protegem vocêde muitos vírus. Basta abrir o documento, ativar as macros e, sevocê está infectado, ele vai se livrar do vírus

instância 3. Ao receber o comando "Convidar" de qualquer apelido, o script de vírus, dentro de 10 segundos, ingressa nesse canal e envia a mensagem para essa pessoa seguida pelo mesmo arquivo infectado STORY.DOC: 

Obrigado pelo conviteEstou um pouco ocupada, então não posso falar muito agora. Eu pensei que você poderia quererolha esse arquivo que eu peguei. Tem uma história engraçada e também tem macros nelaque se livrar de qualquer vírus de macro. Basta ativar as macros quando oO prompt aparece e ele procura por vírus e os limpa.

O vírus também parece informar seu autor sobre sua atividade. Ao conectar-se ao servidor mIRC, o vírus adiciona um nick "SimpleSmn" à lista de notificação - o mIRC afetado será notificado se tal nick aparecer na rede de IRC. O cliente mIRC infectado então detecta quando uma pessoa com um nick "SimpleSmn" aparece na rede de IRC. Nesse caso, o vírus informa essa pessoa com a mensagem "Estou no irc.", Então o vírus informa seu autor sobre computadores infectados on-line.

Com um comando "Aviso" do nick "Simplicity", o vírus abre a unidade C: no computador infectado como um servidor de arquivos (com acesso total), para que o vírus tenha a capacidade de Backdoor.

Ao conectar-se ao servidor IRC, o vírus oculta seu script e o restaura ao desconectar: ​​na conexão, ele copia o SCRIPT.INI do diretório C: MIRC para o arquivo C: WINDOWSSCRIPT1.INI, o recarrega no cliente mIRC e, em seguida, apaga o conteúdo de C: MIRCSCRIPT.INI. Ao desconectar, o vírus copia o C: WINDOWSSCRIPT1.INI de volta para C: MIRCSCRIPT.INI e apaga o arquivo C: WINDOWSSCRIPT1.INI.

Caso o cliente afetado insira um canal que contenha sub-strings "help" ou "nohack" no nome do canal, o script de vírus sairá imediatamente desse canal.

O vírus desabilita qualquer mensagem de qualquer usuário em um canal, se ele / ela envia uma mensagem que tenha qualquer uma das seguintes strings: 

vírus worm script infectar Jack Box macro Story.doc

Se um cliente infectado inserir um comando de IRC personalizado "/ BY" (adicionado por script), o vírus exibirá o texto: 

Mirc Worm Jack-In-The-BoxDe SimpleSimon

Se os textos forem "Hi", "!", "Hey" ou "Hello", o vírus abrirá um dos antivírus e outros endereços da Internet que tenham um servidor de email com capacidade de retransmissão pública aberta: 

mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,drsolomon.com, www.bocklabs.wisc.edu, ebay.com

e procura o sistema SendMail permitido lá. Se estiver disponível, o vírus, usando este servidor de e-mail, enviará mensagens de spam com os seguintes campos: 

mail de: Addr1@Addr2.comrcpt para: Addr3para: Addr3de: Addr1@Addr2.comAssunto: RndTextCorpo da mensagem: Jack-In-The-Box apareceu novamente!

onde Addr1 e Addr2 são strings de texto geradas aleatoriamente até oito letras de tamanho, RndText é gerado aleatoriamente até 50 símbolos do tamanho e Addr3 é selecionado aleatoriamente na lista: 

evrt@avp.comsamples@datafellows.comvirus_research@nai.comtech_support@nai.com

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Kaspersky Next:
cibersegurança redefinida
Saber mais
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Ameaça
Confirm changes?
Your message has been sent successfully.