ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Multi.Fabi

Classe Virus
Plataforma Multi
Descrição

Detalhes técnicos

Este é um vírus multiplataforma infectando arquivos executáveis ​​do Windows32 (PE EXE) e documentos e modelos do MS Word. Como cada vírus multi-plataforma seu código contém várias partes (componentes), cada um deles faz seu trabalho em seu ambiente nativo: como um aplicativo Win32 no MS Windows, ou como um programa de macro no MS Word. Quando qualquer um dos dois componentes de vírus é iniciado em seu ambiente, ele não apenas infecta objetos nesse ambiente, mas também espalha o código de vírus para outro: do arquivo EXE do Windows para documentos do Word e do documento do Word para arquivos EXE do Windows.

O vírus não contém qualquer destruição e não se manifesta de forma alguma. Os arquivos EXE infectados contêm o texto:


(c) Vecna
Parecia inofensiva mas te dominou …

Infectando EXE -> EXE

Quando um arquivo EXE infectado é executado, o componente de vírus EXE assume o controle. Ele verifica o tipo de sistema operacional instalado e, se for o Windows NT, o vírus retorna o controle para o programa host e não executa nenhuma outra ação. O vírus executa sua rotina de infecção somente quando é executado no Windows95 / 98. Essa rotina procura e infecta todos os arquivos executáveis ​​do Win32 no diretório atual, bem como nos diretórios WINDOWS e WINDOWSSYSTEM. Ao infectar o vírus, ele grava seu código no final da última seção, aumenta seu tamanho e modifica os campos de cabeçalho PE necessários.

Por causa de um bug, o vírus corrompe os arquivos EXE no caso de o último tamanho da seção ser maior que 64Kb – o vírus grava seu código no meio do arquivo, e o programa corrompido fica inutilizável e não funciona mais.

Infectando Macro -> Macro, Macro -> EXE

Em documentos e modelos infectados, o vírus contém uma macro AutoClose. Ele se instala na área macro global do Word ao abrir um documento infectado e infecta outros documentos em que eles são fechados. Para copiar seu código de um documento / modelo para outro, o vírus usa instruções de edição de código de macro.

Para executar o arquivo EXE do Windows infectado, o vírus usa a maneira padrão. Os dados binários do arquivo EXE são armazenados em macros de vírus em picadas de texto – os dados binários EXE são convertidos em despejo hexadecimal ASCII. O vírus salva esses dados no disco, cria um auxiliar temporário do DOS BAT e, usando esse auxiliar, o utilitário DOS DEBUG converte o dump hexadecimal de volta para o formato binário EXE e o executa. O componente EXE do vírus assume o controle, ele é executado e infecta arquivos EXE no disco rígido, conforme descrito acima.

A versão conhecida do vírus tem um bug aqui e não pode criar arquivos EXE a partir do componente de vírus de macro. Como resultado, os arquivos EXE do Windows permanecem não infectados.

Infecção de EXE -> Macro

A rotina que baixa o componente de macro para o Word de arquivos EXE infectados é ativada logo após a conclusão da pesquisa e do processo de arquivos EXE do disco infectante. Essa rotina é mais complexa do que outras descritas acima e precisa de mais arquivos temporários para transportar o código de vírus do EXE para o Word. O vírus cria três arquivos principais aqui:


FABI.SYS – "EXE" arquivo EXE "EXE" que recebe infecção pelo componente de vírus EXE
FABI.SRC – o código de macro do vírus de origem, mais dados binários FABI.SYS
convertido em cadeias ASCII hexadecimais
NORMAL.DOT – Modelo do Word com uma pequena macro que completa o vírus
instalação: importa o principal código de vírus da FABI.SRC para
NORMAL.DOT

Para começar a se espalhar de EXE para o Word, o vírus cria um arquivo EXE PE C: FABI.SYS e o infecta. O vírus, em seguida, cria o arquivo C: FABI.SYS e grava seu código-fonte AutoClose do programa de macro para lá. Em seguida, ele anexa a esse arquivo os dados do arquivo C: FABI.SYS convertidos em linhas ASCII hexadecimais. Para concluir esta etapa, o vírus cria um arquivo NORMAL.DOT especialmente preparado. O vírus procura um bom lugar para soltar este arquivo nos diretórios:


C: ARQUIV ~ 1 / MICROS ~? / MODELOS
C: ARQUIVO 1 / MICROS ~? / MODELOS
C: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1

Onde '?' é contado de 1 a 9. O arquivo NORMAL.DOT que é criado no primeiro diretório encontrado contém uma pequena AutoExec macro que é ativada quando o MS Word é iniciado. Essa macro apenas importa o código-fonte da macro de vírus do arquivo C: FABI.SRC e conclui o procedimento de instalação do vírus: o NORMAL.DOT agora está infectado por um código de vírus completo.


Link para o original