ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Multi.Angela

Classe Virus
Plataforma Multi
Descrição

Detalhes técnicos

Este é um vírus multipartite que infecta o setor MBR do disco rígido, o setor de inicialização das unidades de disquete, o arquivo DOS EXE, bem como a propagação através dos canais IRC, infectando o cliente mIRC, bem como enviando a si mesmo usando o MS Outlook.

O vírus pode aparecer em um computador em um disquete infectado, como um arquivo EXE do DOS infectado ou como um anexo infectado em uma mensagem de email.

O vírus não tem payloads e não se manifesta de forma alguma, exceto um – exclui o arquivo:

C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

O vírus precisa excluir esse arquivo para forçar o Windows a operar os setores de disquete usando um modo antigo de 13H INT (isso é necessário para o vírus rodar sua rotina de infecção de disco e furtividade, veja abaixo).

Inicializando de um disco infectado

Ao carregar de um disco infectado, o vírus conecta INT 13h (acesso ao disco) e INT 1Ch (timer). Usando um gancho temporizador, o vírus aguarda até que o sistema esteja inicializando, então conecta INT 21h (funções DOS) e infecta os arquivos executáveis ​​do DOS que são executados. Ao ligar o INT 13h, o vírus obtém acesso a disquetes e infecta seus setores de inicialização. O vírus também percebe {stealth: Stealth} uma função ao acessar os setores de disco infectados.

Execução do arquivo EXE infectado

Ao ser executado a partir de um arquivo DOS EXE infectado, o vírus infecta o setor MBR do disco rígido, cria e registra seu dropper DOS EXE, cria um programa de script VBS para espalhar com e-mail e cria um script mIRC para ser enviado aos canais IRC .

O conta-gotas de vírus tem o nome ANGELA.EXE e é criado no diretório C: WINDOWSSYSTEM (se o Windows estiver instalado em outro diretório, o vírus não poderá se espalhar para o IRC e para o e-mail). Este arquivo está registrado para ser executado após cada reinicialização no arquivo C: AUTOEXEC.BAT. O vírus grava um comando ali para executar esse arquivo a cada reinicialização e adiciona comentários ao arquivo:

@ECHO OFF
c: windowssystemangela.exe
REM – NÃO REMOVA!

O conta-gotas de vírus faz o mesmo que o vírus no arquivo DOS EXE infectado; ou seja, se algum dos componentes do vírus (script VBS ou mIRC) for excluído, o vírus irá recriá-lo na próxima reinicialização.

Mailing

O vírus cria o arquivo ANGELA.VBS no diretório de inicialização do Windows e, como resultado, esse script é ativado em cada inicialização do Windows. O programa no script de acesso do MS Outlook obtém registros do catálogo de endereços e envia uma cópia de vírus (o conta-gotas ANGELA.EXE) para os primeiros 20 endereços encontrados lá. A mensagem tem:

Assunto: Finalmente encontrei!
Body: Aqui estão os arquivos que você me pediu …
Nome do anexo: angela.exe

O script, em seguida, exclui seu arquivo VBS e não há mais mensagens infectadas enviadas durante a mesma sessão do Windows, mas após a reinicialização do computador, o conta-gotas ANGELA.EXE será ativado a partir do AUTOEXEC.BAT e ele recriará o VBS rotina de discussão.

Infecção de canais de IRC

O vírus cria o arquivo SCRIPT.INI no diretório C: MIRC. Este script envia um conta-gotas ANGELA.EXE para todos os usuários que ingressam no canal de IRC infectado.


Link para o original