Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Esse macro-vírus contém uma macro que possui nomes automáticos diferentes em documentos infectados ("Document_Open") e na área de macros globais (NORMAL.DOT – "Document_Close"). Como resultado, o vírus é ativado na abertura e no fechamento do documento. Ele infecta a área de macros globais após a abertura do documento infectado e se espalha para outros documentos após o fechamento.

Ao infectar, o vírus também desativa a proteção contra vírus de macro do Word (Alerta de Vírus), além de desabilitar os menus do Word: "Ferramentas / Macro", "Ferramentas / Personalizar …", "Exibir / Barras de Ferramentas", "Exibir / Status Barra".

O vírus tem uma linha de comentário que é usada pelo vírus para separar documentos infectados e não infectados. Este texto aparece da seguinte maneira:



Jack-in-the-box

O vírus tem capacidade de verme e espalha sua cópia através de canais de IRC. Para fazer isso, o worm de vírus procura o cliente mIRC instalado em um sistema e cria um novo arquivo SCRIPT.INI. O vírus procura o cliente mIRC em apenas um diretório, o C: MIRC, e falha em infectar o mIRC no caso quando ele é instalado em qualquer outro diretório. Ao infectar o cliente mIRC, o vírus também desativa suas mensagens de aviso de segurança. Para se espalhar através dos canais de IRC, o vírus envia o documento infectado C: WINDOWSSTORY.DOC que é criado pelo vírus quando infecta um sistema. O vírus simplesmente salva o documento atual (infectado) lá.

O arquivo de script do vírus contém um conjunto de comandos mIRC (cerca de 4.5Kb de instruções do mIRC) que executam várias funções, incluindo a disseminação por canais, exibição de mensagens, envio de mensagens de spam e ocultação de si mesmo.

O vírus envia sua cópia (o documento STORY.DOC) em três instâncias:

instância 1. Ao receber qualquer arquivo de qualquer pessoa via IRC, o script de vírus envia imediatamente de volta o arquivo STORY.DOC infectado.

instância 2. O vírus usa a lista de notificação do mIRC. A lista de notificação no cliente mIRC contém uma lista de nicks e, no caso de qualquer um desses nicks aparecer na rede, o cliente atual é informado disso (recebe a notificação). No caso em que um cliente mIRC afetado é notificado sobre essa pessoa, o vírus realiza o seguinte: remove esse nick da lista de notificação; ignora todas as mensagens deste nick; e em 5 segundos, envia uma mensagem, que por sua vez é seguida 15 segundos depois por uma cópia do vírus (documento do Word infectado – C: WINDOWSSTORY.DOC). A mensagem que é enviada para o nick aparece da seguinte maneira:



Ei, eu não posso falar agora, mas eu queria te enviar esse arquivo. Tem um

história engraçada que você deve ler, e também tem macros dentro que protegem você

de muitos vírus. Basta abrir o documento, ativar as macros e, se

você está infectado, ele vai se livrar do vírus

instância 3. Ao receber o comando "Convidar" de qualquer apelido, o script de vírus, dentro de 10 segundos, ingressa nesse canal e envia a mensagem para essa pessoa seguida pelo mesmo arquivo infectado STORY.DOC:



Obrigado pelo convite

Estou um pouco ocupada, então não posso falar muito agora. Eu pensei que você poderia querer

olha esse arquivo que eu peguei. Tem uma história engraçada e também tem macros nela

que se livrar de qualquer vírus de macro. Basta ativar as macros quando o

O prompt aparece e ele procura por vírus e os limpa.

O vírus também parece informar seu autor sobre sua atividade. Ao conectar-se ao servidor mIRC, o vírus adiciona um nick "SimpleSmn" à lista de notificação – o mIRC afetado será notificado se tal nick aparecer na rede de IRC. O cliente mIRC infectado então detecta quando uma pessoa com um nick "SimpleSmn" aparece na rede de IRC. Nesse caso, o vírus informa essa pessoa com a mensagem "Estou no irc.", Então o vírus informa seu autor sobre computadores infectados on-line.

Com um comando "Aviso" do nick "Simplicity", o vírus abre a unidade C: no computador infectado como um servidor de arquivos (com acesso total), para que o vírus tenha a capacidade de Backdoor.

Ao conectar-se ao servidor IRC, o vírus oculta seu script e o restaura ao desconectar: na conexão, ele copia o SCRIPT.INI do diretório C: MIRC para o arquivo C: WINDOWSSCRIPT1.INI, o recarrega no cliente mIRC e, em seguida, apaga o conteúdo de C: MIRCSCRIPT.INI. Ao desconectar, o vírus copia o C: WINDOWSSCRIPT1.INI de volta para C: MIRCSCRIPT.INI e apaga o arquivo C: WINDOWSSCRIPT1.INI.

Caso o cliente afetado insira um canal que contenha sub-strings "help" ou "nohack" no nome do canal, o script de vírus sairá imediatamente desse canal.

O vírus desabilita qualquer mensagem de qualquer usuário em um canal, se ele / ela envia uma mensagem que tenha qualquer uma das seguintes strings:



vírus worm script infectar Jack Box macro Story.doc

Se um cliente infectado inserir um comando de IRC personalizado "/ BY" (adicionado por script), o vírus exibirá o texto:



Mirc Worm Jack-In-The-Box

De SimpleSimon

Se os textos forem "Hi", "!", "Hey" ou "Hello", o vírus abrirá um dos antivírus e outros endereços da Internet que tenham um servidor de email com capacidade de retransmissão pública aberta:



mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,

drsolomon.com, www.bocklabs.wisc.edu, ebay.com

e procura o sistema SendMail permitido lá. Se estiver disponível, o vírus, usando este servidor de e-mail, enviará mensagens de spam com os seguintes campos:



mail de: Addr1@Addr2.com

rcpt para: Addr3

para: Addr3

de: Addr1@Addr2.com

Assunto: RndText

Corpo da mensagem: Jack-In-The-Box apareceu novamente!

onde Addr1 e Addr2 são strings de texto geradas aleatoriamente até oito letras de tamanho, RndText é gerado aleatoriamente até 50 símbolos do tamanho e Addr3 é selecionado aleatoriamente na lista:



evrt@avp.com

samples@datafellows.com

virus_research@nai.com

tech_support@nai.com

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSWord
Descrição	Detalhes técnicos Esse macro-vírus contém uma macro que possui nomes automáticos diferentes em documentos infectados ("Document_Open") e na área de macros globais (NORMAL.DOT – "Document_Close"). Como resultado, o vírus é ativado na abertura e no fechamento do documento. Ele infecta a área de macros globais após a abertura do documento infectado e se espalha para outros documentos após o fechamento. Ao infectar, o vírus também desativa a proteção contra vírus de macro do Word (Alerta de Vírus), além de desabilitar os menus do Word: "Ferramentas / Macro", "Ferramentas / Personalizar …", "Exibir / Barras de Ferramentas", "Exibir / Status Barra". O vírus tem uma linha de comentário que é usada pelo vírus para separar documentos infectados e não infectados. Este texto aparece da seguinte maneira: Jack-in-the-box O vírus tem capacidade de verme e espalha sua cópia através de canais de IRC. Para fazer isso, o worm de vírus procura o cliente mIRC instalado em um sistema e cria um novo arquivo SCRIPT.INI. O vírus procura o cliente mIRC em apenas um diretório, o C: MIRC, e falha em infectar o mIRC no caso quando ele é instalado em qualquer outro diretório. Ao infectar o cliente mIRC, o vírus também desativa suas mensagens de aviso de segurança. Para se espalhar através dos canais de IRC, o vírus envia o documento infectado C: WINDOWSSTORY.DOC que é criado pelo vírus quando infecta um sistema. O vírus simplesmente salva o documento atual (infectado) lá. O arquivo de script do vírus contém um conjunto de comandos mIRC (cerca de 4.5Kb de instruções do mIRC) que executam várias funções, incluindo a disseminação por canais, exibição de mensagens, envio de mensagens de spam e ocultação de si mesmo. O vírus envia sua cópia (o documento STORY.DOC) em três instâncias: instância 1. Ao receber qualquer arquivo de qualquer pessoa via IRC, o script de vírus envia imediatamente de volta o arquivo STORY.DOC infectado. instância 2. O vírus usa a lista de notificação do mIRC. A lista de notificação no cliente mIRC contém uma lista de nicks e, no caso de qualquer um desses nicks aparecer na rede, o cliente atual é informado disso (recebe a notificação). No caso em que um cliente mIRC afetado é notificado sobre essa pessoa, o vírus realiza o seguinte: remove esse nick da lista de notificação; ignora todas as mensagens deste nick; e em 5 segundos, envia uma mensagem, que por sua vez é seguida 15 segundos depois por uma cópia do vírus (documento do Word infectado – C: WINDOWSSTORY.DOC). A mensagem que é enviada para o nick aparece da seguinte maneira: Ei, eu não posso falar agora, mas eu queria te enviar esse arquivo. Tem um história engraçada que você deve ler, e também tem macros dentro que protegem você de muitos vírus. Basta abrir o documento, ativar as macros e, se você está infectado, ele vai se livrar do vírus instância 3. Ao receber o comando "Convidar" de qualquer apelido, o script de vírus, dentro de 10 segundos, ingressa nesse canal e envia a mensagem para essa pessoa seguida pelo mesmo arquivo infectado STORY.DOC: Obrigado pelo convite Estou um pouco ocupada, então não posso falar muito agora. Eu pensei que você poderia querer olha esse arquivo que eu peguei. Tem uma história engraçada e também tem macros nela que se livrar de qualquer vírus de macro. Basta ativar as macros quando o O prompt aparece e ele procura por vírus e os limpa. O vírus também parece informar seu autor sobre sua atividade. Ao conectar-se ao servidor mIRC, o vírus adiciona um nick "SimpleSmn" à lista de notificação – o mIRC afetado será notificado se tal nick aparecer na rede de IRC. O cliente mIRC infectado então detecta quando uma pessoa com um nick "SimpleSmn" aparece na rede de IRC. Nesse caso, o vírus informa essa pessoa com a mensagem "Estou no irc.", Então o vírus informa seu autor sobre computadores infectados on-line. Com um comando "Aviso" do nick "Simplicity", o vírus abre a unidade C: no computador infectado como um servidor de arquivos (com acesso total), para que o vírus tenha a capacidade de Backdoor. Ao conectar-se ao servidor IRC, o vírus oculta seu script e o restaura ao desconectar: na conexão, ele copia o SCRIPT.INI do diretório C: MIRC para o arquivo C: WINDOWSSCRIPT1.INI, o recarrega no cliente mIRC e, em seguida, apaga o conteúdo de C: MIRCSCRIPT.INI. Ao desconectar, o vírus copia o C: WINDOWSSCRIPT1.INI de volta para C: MIRCSCRIPT.INI e apaga o arquivo C: WINDOWSSCRIPT1.INI. Caso o cliente afetado insira um canal que contenha sub-strings "help" ou "nohack" no nome do canal, o script de vírus sairá imediatamente desse canal. O vírus desabilita qualquer mensagem de qualquer usuário em um canal, se ele / ela envia uma mensagem que tenha qualquer uma das seguintes strings: vírus worm script infectar Jack Box macro Story.doc Se um cliente infectado inserir um comando de IRC personalizado "/ BY" (adicionado por script), o vírus exibirá o texto: Mirc Worm Jack-In-The-Box De SimpleSimon Se os textos forem "Hi", "!", "Hey" ou "Hello", o vírus abrirá um dos antivírus e outros endereços da Internet que tenham um servidor de email com capacidade de retransmissão pública aberta: mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com, drsolomon.com, www.bocklabs.wisc.edu, ebay.com e procura o sistema SendMail permitido lá. Se estiver disponível, o vírus, usando este servidor de e-mail, enviará mensagens de spam com os seguintes campos: mail de: Addr1@Addr2.com rcpt para: Addr3 para: Addr3 de: Addr1@Addr2.com Assunto: RndText Corpo da mensagem: Jack-In-The-Box apareceu novamente! onde Addr1 e Addr2 são strings de texto geradas aleatoriamente até oito letras de tamanho, RndText é gerado aleatoriamente até 50 símbolos do tamanho e Addr3 é selecionado aleatoriamente na lista: evrt@avp.com samples@datafellows.com virus_research@nai.com tech_support@nai.com
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSWord.Story

Detalhes técnicos