ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Multi.Cocaine

Classe Virus
Plataforma Multi
Descrição

Detalhes técnicos

Estes são os arquivos parasitas do Windows PE e o infector de modelos normais do MS Word com capacidade de propagação de e-mail, com cerca de 22Kb de comprimento. O vírus tem três instâncias: em arquivos EXE do Windows PE, no modelo Word NORMAL e como arquivo anexado em mensagens de email.

O código do vírus em arquivos PE EXE infectados é sua instância principal. Quando executado, o vírus procura arquivos PE EXE nos diretórios atuais e do Windows e os infecta. O vírus também elimina o NORMAL.DOT infectado para o diretório MS Word de sua instância PE EXE, bem como envia e-mails infectados. A instância de vírus no modelo NORMAL em cada fechamento de documento descarta e executa o arquivo PE EXE infectado e não é capaz de infectar outros documentos e modelos. O código do vírus em e-mails aparece como arquivo anexado que está infectado arquivo executável do Windows PE EXE com nome aleatório ou modelo NORMAL infectado.

O vírus é residente na memória por processo. Isso significa que a cópia do vírus pode permanecer na memória por muito tempo até que o aplicativo infectado seja encerrado. No caso de apenas aplicativos de "vida curta" estarem infectados, o código de vírus não estará presente na memória do sistema por muito tempo. No caso de uma aplicação em uso permanente estar infectada, o vírus fica ativo durante muito tempo, conecta as funções do Windows, infecta arquivos EXE do PE que acessam e enviam mensagens de e-mail.

O vírus é polimórfico em arquivos PE, assim como no modelo Word NORMAL. O vírus tem dois mecanismos polimórficos em seu código EXE: o primeiro deles gera um loop de decodificação polimórfico em arquivos PE EXE infectados, o segundo faz com que o programa de macro de vírus também seja infectado com NORMAL.DOT polimórfico.

O vírus tem uma rotina de carga útil que é executada quando um arquivo infectado é executado em quatro meses. Essa rotina exibe as caixas de mensagem que possuem o cabeçalho "W32 / Wm.Cocaine" e o texto que é selecionado aleatoriamente de sete variantes:


Sua vida queima mais rápido, obedeça seu mestre …
Pique seu café da manhã em um espelho …
Veias que bombeiam com medo, sugando o mais escuro claro …
Prove-me você vai ver, mais é tudo que você precisa …
Vou ocupar, vou te ajudar a morrer …
Eu vou correr através de você, agora eu também te governo …
Master of Puppets, estou puxando suas cordas …

O vírus presta atenção aos programas antivírus e tenta desativá-los. Cada vez que um arquivo infectado é executado e o vírus instala sua cópia residente por processo, ele procura por arquivos de dados antivírus no diretório atual e os exclui. Os nomes desses arquivos se parecem com os seguintes: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN e outros dados de antivírus). arquivos). O vírus também localiza e finaliza a versão antiga do verificador de acesso do AVP Monitor.

A versão de vírus conhecida tem erros e não pode se espalhar da instância de macro do Word para o executável do Windows. Ele também tem um bug na rotina de infecção PE EXE e corrompe alguns arquivos executáveis ​​do WinNT.

O vírus tem um texto de "direitos autorais":


(c) Vecna

Algumas rotinas de vírus (especialmente as macro) estão relacionadas ao vírus multiplataforma "Fabi" , e alguns arquivos infectados podem ser detectados pelo nome desse vírus.

Detalhes técnicos

O vírus tem tamanho bastante grande para um programa escrito em Assembler – cerca de 22Kb, e possui muitas rotinas que são bastante interessantes do ponto de vista técnico.

Execução de EXE infectada

Quando um arquivo infectado assume o controle, os loops de descriptografia polimórfica são executados. Eles descriptografam código de vírus camada por camada (o vírus é criptografado por vários loops – de dois a cinco) e passa o controle para a rotina de instalação do vírus. É necessário notar que vários blocos de vírus permanecem criptografados. O vírus descriptografa e acessa-os em caso de necessidade e, em seguida, criptografa de volta. Esses blocos são dados de infecção do MS Word e rotina, assim como o mecanismo polimórfico do PE EXE.

A rotina de instalação de vírus procura os endereços de funções da API do Windows necessários que são usados ​​pelo vírus posteriormente. A lista dessas funções é bastante longa, isso é causado por uma lista de coisas que o vírus faz para se espalhar. A lista de funções que o vírus procura está abaixo:


Exportado pela lista de funções
———– ————–
KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA
CreateFileA WinExec CloseHandle LoadLibraryA FreeLibrary
CreateFileMappingA MapViewOfFile UnmapViewOfFile
FindFirstFileA FindNextFileA FindClose SetEndOfFile
VirtualAlloc VirtualFree GetSystemTime
GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime
ExitProcess GetCurrentProcess WriteProcessMemory WriteFile
DeleteFileA Sleep CreateThread GetFileSize SetFilePointer
USER32.DLL: MessageBoxA FindWindowA PostMessageA
ADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA
RegQueryValueExA RegCloseKey
MAPI32.DLL: MAPISendMail

O vírus obtém os endereços dessas funções pelo truque de vírus padrão do Windows: ele localiza a imagem em KERNEL32.DLL na memória do Windows, verifica sua tabela de exportação e obtém endereços de duas funções: GetModuleHandle e GetProcAddress. Usando essas duas funções, o vírus pode facilmente localizar todos os endereços de outras funções necessárias. A característica mais interessante desta rotina é o fato de que este é o primeiro vírus que processa não apenas os endereços Win95 / 98 e WinNT enquanto procura pela imagem KERNEL32.DLL, mas também presta atenção aos endereços Win2000.

O vírus então localiza e infecta o MS Word, então procura por arquivos PE EXE e também os infecta, então conecta um conjunto de eventos do sistema (arquivos e emails) que é usado para localizar e infectar mais arquivos, bem como espalhar cópias de vírus para a Internet em e-mails anexados.

Infectando o MS Word

A primeira rotina de infecção que é ativada pelo vírus é o MS Word afetando a rotina, se estiver instalado no sistema. Primeiro de tudo aqui o vírus verifica a presença do arquivo C: ANCEV.SYS.

O arquivo C: ANCEV.SYS ("ANCEV" = "VECNA" escrito para trás) tem um propósito especial. Este arquivo é criado quando a rotina de infecção de modelo do MS Word é concluída. Portanto, essa presença de arquivo significa que o MS Word estava localizado e o modelo NORMAL.DOT estava infectado. Nesse caso, o vírus durante o envio de emails envia o modelo NORMAL.DOT, mas não o dropper EXE infectado.

Assim, o vírus verifica esse arquivo no topo da rotina de infecção do MS Word. Se não existir, o vírus continua a infecção. Se este arquivo encontrado, o vírus aleatoriamente em um dos casos de dez continua a infecção, e em nove casos de rotina de infecção de dez folhas. Isso significa que em um caso de dez o MS Word NORMAL.DOT será reinfectado de qualquer maneira.

O vírus então desativa a proteção contra o Word VirusWarning, modificando as chaves de registro do sistema onde o Word armazena suas configurações:


SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection

O vírus, em seguida, obtém o diretório de modelos do Word também lendo o registro do sistema:


SOFTWAREMicrosoftOffice8.0CommonFileNewLocalTemplates

e exclui os modelos NORMAL.DOT e cria um novo arquivo de modelo NORMAL.DOT – um infectado. O NORMAL.DOT infectado contém uma pequena macro dentro. Esta macro tem o nome automático do Word "AutoExec", ele será executado automaticamente na próxima inicialização do Word e importará a macro de vírus principal do arquivo C: COCAINE.SYS.

O arquivo C: COCAINE.SYS é criado pelo vírus logo após sobrescrever o modelo NORMAL.DOT. Este arquivo SYS é um arquivo de texto que contém o código-fonte do programa VBA. Esta fonte é extraída pelo vírus de seu código, misturada com instruções VBA (polimórficas) de lixo eletrônico e anexada ao dropper PE EXE infectado convertido em strings ASCII.

Portanto, a rotina de infecção do MS Word faz seu trabalho em duas etapas. Primeiro de tudo o vírus substitui o NORMAL.DOT original por um novo que contém o programa de macro "AutoExec" (loader) que importa código de vírus completo do arquivo C: COCAINE.SYS e conclui por esse código de vírus de portabilidade do arquivo PE EXE para o modelo do MS Word.

Do Word para o EXE

Para descartar o arquivo EXE PE da sua instância de modelo do Word, o vírus usa o truque dos vírus de macro padrão. Ele cria dois arquivos: o primeiro deles é o arquivo C: COCAINE.SRC com a imagem infectada do arquivo PE EXE convertida em formato ASCII, e o segundo arquivo é um lote DOS com nome aleatório. Esse arquivo em lote contém um conjunto de instruções que executam o utilitário DOS DEBUG que converte o despejo ASCII de volta para o formato binário PE EXE e o executa.

Assim, o vírus salta para o Windows fora do modelo do Word infectado.

Infectando arquivos EXE do PE

Quando o MS Word é afetado, o vírus vai para a rotina de infecção de arquivos PE EXE. O vírus procura arquivos PE EXE nos diretórios atuais e do Windows e os infecta. Os únicos arquivos estão infectados com extensões de nome de arquivo .EXE ou .SCR.

O vírus então procura por navegador e mailer instalados e os infecta também. O vírus os localiza pelas chaves de registro do sistema no armazenamento HKEY_LOCAL_MACHINE:


SOFTWAREClasseshtmlfileshellopencommand
SOFTWAREClassesmailtoshellopencommand

O vírus precisa que esses arquivos sejam infectados para ativar suas rotinas de infecção na Internet. Quando esses aplicativos de acesso à Internet são infectados, a cópia do vírus fica ativa na memória por muito tempo, exatamente no momento em que um usuário está conectado à Internet. Isso é necessário para o vírus perceber sua capacidade de disseminação da Internet.

Mecanismo de Infecção EXE PE

O vírus verifica várias condições antes de infectar o arquivo. 1º: o comprimento do arquivo não pode ser divisível por 101 (é proteção contra vírus para evitar infecção múltipla, os arquivos PE já infectados têm tamanho tamanho). 2º: quando o vírus procurar arquivos EXE nos diretórios atuais e do Windows para infectá-los, o nome do arquivo não pode conter letra ou dígitos 'V', aqui o vírus evita a maioria dos verificadores antivírus e infecção por "arquivos de cabra".

Se a primeira seção tiver tamanho grande o suficiente (mais de 2304 bytes), o vírus grava ali vários blocos de código que passam o bloco a bloco para os loops principais de descriptografia de vírus. Existem oito blocos gravados em arquivos quando o vírus os infecta:


+ ———— +
| |
Cabeçalho PE | ————— +
| ———— | |
| + —– + <- + | |
| | Junk2 | || |
| + —– + – + || Ponto de entrada |
| + —– + ||| <————— +
|| Junk1 | |||
| + —– + —- + |
| | |
| + —– + <- + |
|| Junk3 | |
| + —– + —- + |
| V |
| . . . |
| + —– + |
| + —- | Junk8 ||
|| + —– + |
| V |
| ———— |
Código de vírus |
| |
+ ———— +

Nesse caso, o vírus não modifica o endereço do ponto de entrada do programa, mas ele precisa restaurar todos os blocos sobrescritos do arquivo host antes de retornar o controle para o procedimento de entrada original.

Se a primeira seção for curta, o controle vai diretamente para o código do vírus. Nesse caso, o vírus modifica o endereço de entrada do programa para obter controle quando os arquivos infectados são executados.

O código do vírus em si é criptografado por vários loops polimórficos (de dois até cinco). O mecanismo polimórfico do vírus é bastante forte e produz cerca de 2Kb de alças polimórficas.

O vírus também corrige a seção Importar para obter as funções GetProcAddress, GetModuleHandle, CreateProcessA, WinExec e MAPISendMail quando a infecção executável é executada.

Afinal, o vírus grava seu código criptografado no final da última seção do arquivo e aumenta o tamanho da seção corrigindo o cabeçalho PE.

Interceptando Eventos

Quando as rotinas de infecção direta do Word e do PE EXE são concluídas, o vírus intercepta várias funções do Windows e permanece na memória do Windows como parte do programa host. O vírus conecta duas funções de acesso a arquivos WinExec e CreateProcessA, se elas forem importadas pelo programa host do KERNEL32.DLL. Quando essas funções obtêm controle (um programa é executado), o vírus obtém o nome do arquivo do programa, obtém seu diretório, pesquisa e infecta os arquivos EXE do PE nesse diretório.

Enviar e-mails

O código residente de processo por vírus também executa thread de infecção de email, ganchos MAPISendMail que é exportado de MAPI32.DLL, "conectar" e "recv" de WSOCK32.DLL e GetProcAddress de KERNEL32.DLL.

O primeiro gancho é usado pelo vírus para enviar sua cópia para a Internet. Quando o vírus intercepta esse evento, ele procura dados anexados na mensagem. Se não houver anexação, o vírus será anexado à mensagem infectada NORMAL.DOT ou arquivo PE EXE infectado (o último é criado no disco no arquivo C: ENIACOC.SYS).

Os ganchos "GetProcAddress", "connect" e "recv" são usados ​​pelo vírus para realizar o segundo método de envio de emails infectados. Quando chega uma mensagem, o vírus verifica seu cabeçalho para o campo "mailto:", obtém o endereço de lá e o armazena em seu próprio banco de dados.

O thread de infecção quando assume o controle procura pelo endereço de e-mail detectado pelas hookers "connect" e "recv", calcula seu CRC e compara com o banco de dados "addresses addresss já infectados" armazenado no arquivo BRSCBC.DAT no diretório do sistema Windows. Se esse endereço ainda não tiver sido enviado, o vírus o adicionará ao banco de dados BRSCBC.DAT, criará uma mensagem com o modelo NORMAL ou arquivo EXE PE infectado e a enviará usando a função MAPISendMail. O campo de assunto da mensagem é selecionado aleatoriamente das variantes:


Página de Kewl!
Melhoria na sua página
Sua página r0x0r!
Você deve ver isso …
Coisas secretas!

Ao usar o banco de dados BRSCBC.DAT, o vírus evita envios duplicados, mas em cada programa infectado, o vírus, dependendo de seu contador aleatório, exclui esse arquivo e limpa o banco de dados "não enviar".

O "GetProcAddress" que também é enganchado pela cópia TSR do vírus é usado apenas para interceptar as funções WSOCK32.DLL "connect" e "recv", se um aplicativo não importar essas rotinas "por padrão", mas ativá-las em caso de necessidade. Para fazer isso, o gancho do vírus "GetProcAddress" intercepta os acessos para os endereços das funções "connect" e "recv" WSOCK32.DLL. Se um aplicativo tentar obter endereços dessas rotinas para usar conexões com a Internet, o vírus retornará endereços de suas próprias prostitutas "connect" e "recv" e, portanto, interceptará a conexão com a Internet.


Link para o original