ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Story

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Esse macro-vírus contém uma macro que possui nomes automáticos diferentes em documentos infectados ("Document_Open") e na área de macros globais (NORMAL.DOT – "Document_Close"). Como resultado, o vírus é ativado na abertura e no fechamento do documento. Ele infecta a área de macros globais após a abertura do documento infectado e se espalha para outros documentos após o fechamento.

Ao infectar, o vírus também desativa a proteção contra vírus de macro do Word (Alerta de Vírus), além de desabilitar os menus do Word: "Ferramentas / Macro", "Ferramentas / Personalizar …", "Exibir / Barras de Ferramentas", "Exibir / Status Barra".

O vírus tem uma linha de comentário que é usada pelo vírus para separar documentos infectados e não infectados. Este texto aparece da seguinte maneira:


Jack-in-the-box

O vírus tem capacidade de verme e espalha sua cópia através de canais de IRC. Para fazer isso, o worm de vírus procura o cliente mIRC instalado em um sistema e cria um novo arquivo SCRIPT.INI. O vírus procura o cliente mIRC em apenas um diretório, o C: MIRC, e falha em infectar o mIRC no caso quando ele é instalado em qualquer outro diretório. Ao infectar o cliente mIRC, o vírus também desativa suas mensagens de aviso de segurança. Para se espalhar através dos canais de IRC, o vírus envia o documento infectado C: WINDOWSSTORY.DOC que é criado pelo vírus quando infecta um sistema. O vírus simplesmente salva o documento atual (infectado) lá.

O arquivo de script do vírus contém um conjunto de comandos mIRC (cerca de 4.5Kb de instruções do mIRC) que executam várias funções, incluindo a disseminação por canais, exibição de mensagens, envio de mensagens de spam e ocultação de si mesmo.

O vírus envia sua cópia (o documento STORY.DOC) em três instâncias:

instância 1. Ao receber qualquer arquivo de qualquer pessoa via IRC, o script de vírus envia imediatamente de volta o arquivo STORY.DOC infectado.

instância 2. O vírus usa a lista de notificação do mIRC. A lista de notificação no cliente mIRC contém uma lista de nicks e, no caso de qualquer um desses nicks aparecer na rede, o cliente atual é informado disso (recebe a notificação). No caso em que um cliente mIRC afetado é notificado sobre essa pessoa, o vírus realiza o seguinte: remove esse nick da lista de notificação; ignora todas as mensagens deste nick; e em 5 segundos, envia uma mensagem, que por sua vez é seguida 15 segundos depois por uma cópia do vírus (documento do Word infectado – C: WINDOWSSTORY.DOC). A mensagem que é enviada para o nick aparece da seguinte maneira:


Ei, eu não posso falar agora, mas eu queria te enviar esse arquivo. Tem um
história engraçada que você deve ler, e também tem macros dentro que protegem você
de muitos vírus. Basta abrir o documento, ativar as macros e, se
você está infectado, ele vai se livrar do vírus

instância 3. Ao receber o comando "Convidar" de qualquer apelido, o script de vírus, dentro de 10 segundos, ingressa nesse canal e envia a mensagem para essa pessoa seguida pelo mesmo arquivo infectado STORY.DOC:


Obrigado pelo convite
Estou um pouco ocupada, então não posso falar muito agora. Eu pensei que você poderia querer
olha esse arquivo que eu peguei. Tem uma história engraçada e também tem macros nela
que se livrar de qualquer vírus de macro. Basta ativar as macros quando o
O prompt aparece e ele procura por vírus e os limpa.

O vírus também parece informar seu autor sobre sua atividade. Ao conectar-se ao servidor mIRC, o vírus adiciona um nick "SimpleSmn" à lista de notificação – o mIRC afetado será notificado se tal nick aparecer na rede de IRC. O cliente mIRC infectado então detecta quando uma pessoa com um nick "SimpleSmn" aparece na rede de IRC. Nesse caso, o vírus informa essa pessoa com a mensagem "Estou no irc.", Então o vírus informa seu autor sobre computadores infectados on-line.

Com um comando "Aviso" do nick "Simplicity", o vírus abre a unidade C: no computador infectado como um servidor de arquivos (com acesso total), para que o vírus tenha a capacidade de Backdoor.

Ao conectar-se ao servidor IRC, o vírus oculta seu script e o restaura ao desconectar: ​​na conexão, ele copia o SCRIPT.INI do diretório C: MIRC para o arquivo C: WINDOWSSCRIPT1.INI, o recarrega no cliente mIRC e, em seguida, apaga o conteúdo de C: MIRCSCRIPT.INI. Ao desconectar, o vírus copia o C: WINDOWSSCRIPT1.INI de volta para C: MIRCSCRIPT.INI e apaga o arquivo C: WINDOWSSCRIPT1.INI.

Caso o cliente afetado insira um canal que contenha sub-strings "help" ou "nohack" no nome do canal, o script de vírus sairá imediatamente desse canal.

O vírus desabilita qualquer mensagem de qualquer usuário em um canal, se ele / ela envia uma mensagem que tenha qualquer uma das seguintes strings:


vírus worm script infectar Jack Box macro Story.doc

Se um cliente infectado inserir um comando de IRC personalizado "/ BY" (adicionado por script), o vírus exibirá o texto:


Mirc Worm Jack-In-The-Box
De SimpleSimon

Se os textos forem "Hi", "!", "Hey" ou "Hello", o vírus abrirá um dos antivírus e outros endereços da Internet que tenham um servidor de email com capacidade de retransmissão pública aberta:


mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,
drsolomon.com, www.bocklabs.wisc.edu, ebay.com

e procura o sistema SendMail permitido lá. Se estiver disponível, o vírus, usando este servidor de e-mail, enviará mensagens de spam com os seguintes campos:


mail de: Addr1@Addr2.com
rcpt para: Addr3
para: Addr3
de: Addr1@Addr2.com
Assunto: RndText
Corpo da mensagem: Jack-In-The-Box apareceu novamente!

onde Addr1 e Addr2 são strings de texto geradas aleatoriamente até oito letras de tamanho, RndText é gerado aleatoriamente até 50 símbolos do tamanho e Addr3 é selecionado aleatoriamente na lista:


evrt@avp.com
samples@datafellows.com
virus_research@nai.com
tech_support@nai.com


Link para o original