Virus.MSWord.Story

Detalhes técnicos

Esse macro-vírus contém uma macro que possui nomes automáticos diferentes em documentos infectados ("Document_Open") e na área de macros globais (NORMAL.DOT – "Document_Close"). Como resultado, o vírus é ativado na abertura e no fechamento do documento. Ele infecta a área de macros globais após a abertura do documento infectado e se espalha para outros documentos após o fechamento.

Ao infectar, o vírus também desativa a proteção contra vírus de macro do Word (Alerta de Vírus), além de desabilitar os menus do Word: "Ferramentas / Macro", "Ferramentas / Personalizar …", "Exibir / Barras de Ferramentas", "Exibir / Status Barra".

O vírus tem uma linha de comentário que é usada pelo vírus para separar documentos infectados e não infectados. Este texto aparece da seguinte maneira:

Jack-in-the-box

O vírus tem capacidade de verme e espalha sua cópia através de canais de IRC. Para fazer isso, o worm de vírus procura o cliente mIRC instalado em um sistema e cria um novo arquivo SCRIPT.INI. O vírus procura o cliente mIRC em apenas um diretório, o C: MIRC, e falha em infectar o mIRC no caso quando ele é instalado em qualquer outro diretório. Ao infectar o cliente mIRC, o vírus também desativa suas mensagens de aviso de segurança. Para se espalhar através dos canais de IRC, o vírus envia o documento infectado C: WINDOWSSTORY.DOC que é criado pelo vírus quando infecta um sistema. O vírus simplesmente salva o documento atual (infectado) lá.

O arquivo de script do vírus contém um conjunto de comandos mIRC (cerca de 4.5Kb de instruções do mIRC) que executam várias funções, incluindo a disseminação por canais, exibição de mensagens, envio de mensagens de spam e ocultação de si mesmo.

O vírus envia sua cópia (o documento STORY.DOC) em três instâncias:

instância 1. Ao receber qualquer arquivo de qualquer pessoa via IRC, o script de vírus envia imediatamente de volta o arquivo STORY.DOC infectado.

instância 2. O vírus usa a lista de notificação do mIRC. A lista de notificação no cliente mIRC contém uma lista de nicks e, no caso de qualquer um desses nicks aparecer na rede, o cliente atual é informado disso (recebe a notificação). No caso em que um cliente mIRC afetado é notificado sobre essa pessoa, o vírus realiza o seguinte: remove esse nick da lista de notificação; ignora todas as mensagens deste nick; e em 5 segundos, envia uma mensagem, que por sua vez é seguida 15 segundos depois por uma cópia do vírus (documento do Word infectado – C: WINDOWSSTORY.DOC). A mensagem que é enviada para o nick aparece da seguinte maneira:

Ei, eu não posso falar agora, mas eu queria te enviar esse arquivo. Tem umhistória engraçada que você deve ler, e também tem macros dentro que protegem vocêde muitos vírus. Basta abrir o documento, ativar as macros e, sevocê está infectado, ele vai se livrar do vírus

instância 3. Ao receber o comando "Convidar" de qualquer apelido, o script de vírus, dentro de 10 segundos, ingressa nesse canal e envia a mensagem para essa pessoa seguida pelo mesmo arquivo infectado STORY.DOC:

Obrigado pelo conviteEstou um pouco ocupada, então não posso falar muito agora. Eu pensei que você poderia quererolha esse arquivo que eu peguei. Tem uma história engraçada e também tem macros nelaque se livrar de qualquer vírus de macro. Basta ativar as macros quando oO prompt aparece e ele procura por vírus e os limpa.

O vírus também parece informar seu autor sobre sua atividade. Ao conectar-se ao servidor mIRC, o vírus adiciona um nick "SimpleSmn" à lista de notificação – o mIRC afetado será notificado se tal nick aparecer na rede de IRC. O cliente mIRC infectado então detecta quando uma pessoa com um nick "SimpleSmn" aparece na rede de IRC. Nesse caso, o vírus informa essa pessoa com a mensagem "Estou no irc.", Então o vírus informa seu autor sobre computadores infectados on-line.

Com um comando "Aviso" do nick "Simplicity", o vírus abre a unidade C: no computador infectado como um servidor de arquivos (com acesso total), para que o vírus tenha a capacidade de Backdoor.

Ao conectar-se ao servidor IRC, o vírus oculta seu script e o restaura ao desconectar: ​​na conexão, ele copia o SCRIPT.INI do diretório C: MIRC para o arquivo C: WINDOWSSCRIPT1.INI, o recarrega no cliente mIRC e, em seguida, apaga o conteúdo de C: MIRCSCRIPT.INI. Ao desconectar, o vírus copia o C: WINDOWSSCRIPT1.INI de volta para C: MIRCSCRIPT.INI e apaga o arquivo C: WINDOWSSCRIPT1.INI.

Caso o cliente afetado insira um canal que contenha sub-strings "help" ou "nohack" no nome do canal, o script de vírus sairá imediatamente desse canal.

O vírus desabilita qualquer mensagem de qualquer usuário em um canal, se ele / ela envia uma mensagem que tenha qualquer uma das seguintes strings:

vírus worm script infectar Jack Box macro Story.doc

Se um cliente infectado inserir um comando de IRC personalizado "/ BY" (adicionado por script), o vírus exibirá o texto:

Mirc Worm Jack-In-The-BoxDe SimpleSimon

Se os textos forem "Hi", "!", "Hey" ou "Hello", o vírus abrirá um dos antivírus e outros endereços da Internet que tenham um servidor de email com capacidade de retransmissão pública aberta:

mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,drsolomon.com, www.bocklabs.wisc.edu, ebay.com

e procura o sistema SendMail permitido lá. Se estiver disponível, o vírus, usando este servidor de e-mail, enviará mensagens de spam com os seguintes campos:

mail de: Addr1@Addr2.comrcpt para: Addr3para: Addr3de: Addr1@Addr2.comAssunto: RndTextCorpo da mensagem: Jack-In-The-Box apareceu novamente!

onde Addr1 e Addr2 são strings de texto geradas aleatoriamente até oito letras de tamanho, RndText é gerado aleatoriamente até 50 símbolos do tamanho e Addr3 é selecionado aleatoriamente na lista:

evrt@avp.comsamples@datafellows.comvirus_research@nai.comtech_support@nai.com