ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Ameaças Virus Multi

Virus.Multi.Fabi

Classe
Virus
Plataforma
Multi

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Virus

Os vírus replicam nos recursos da máquina local. Ao contrário dos worms, os vírus não usam serviços de rede para propagar ou penetrar em outros computadores. Uma cópia de um vírus só chegará aos computadores remotos se o objeto infectado, por algum motivo não relacionado à função de vírus, estiver ativado em outro computador. Por exemplo: ao infectar discos acessíveis, um vírus penetra em um arquivo localizado em um recurso de rede, um vírus se copia para um dispositivo de armazenamento removível ou infecta um arquivo em um dispositivo removível que um usuário envia um email com um anexo infectado.

Plataforma: Multi

No platform description

Descrição

Detalhes técnicos

Este é um vírus multiplataforma infectando arquivos executáveis ​​do Windows32 (PE EXE) e documentos e modelos do MS Word. Como cada vírus multi-plataforma seu código contém várias partes (componentes), cada um deles faz seu trabalho em seu ambiente nativo: como um aplicativo Win32 no MS Windows, ou como um programa de macro no MS Word. Quando qualquer um dos dois componentes de vírus é iniciado em seu ambiente, ele não apenas infecta objetos nesse ambiente, mas também espalha o código de vírus para outro: do arquivo EXE do Windows para documentos do Word e do documento do Word para arquivos EXE do Windows.

O vírus não contém qualquer destruição e não se manifesta de forma alguma. Os arquivos EXE infectados contêm o texto: 

(c) VecnaParecia inofensiva mas te dominou ...

Infectando EXE -> EXE

Quando um arquivo EXE infectado é executado, o componente de vírus EXE assume o controle. Ele verifica o tipo de sistema operacional instalado e, se for o Windows NT, o vírus retorna o controle para o programa host e não executa nenhuma outra ação. O vírus executa sua rotina de infecção somente quando é executado no Windows95 / 98. Essa rotina procura e infecta todos os arquivos executáveis ​​do Win32 no diretório atual, bem como nos diretórios WINDOWS e WINDOWSSYSTEM. Ao infectar o vírus, ele grava seu código no final da última seção, aumenta seu tamanho e modifica os campos de cabeçalho PE necessários.

Por causa de um bug, o vírus corrompe os arquivos EXE no caso de o último tamanho da seção ser maior que 64Kb - o vírus grava seu código no meio do arquivo, e o programa corrompido fica inutilizável e não funciona mais.

Infectando Macro -> Macro, Macro -> EXE

Em documentos e modelos infectados, o vírus contém uma macro AutoClose. Ele se instala na área macro global do Word ao abrir um documento infectado e infecta outros documentos em que eles são fechados. Para copiar seu código de um documento / modelo para outro, o vírus usa instruções de edição de código de macro.

Para executar o arquivo EXE do Windows infectado, o vírus usa a maneira padrão. Os dados binários do arquivo EXE são armazenados em macros de vírus em picadas de texto - os dados binários EXE são convertidos em despejo hexadecimal ASCII. O vírus salva esses dados no disco, cria um auxiliar temporário do DOS BAT e, usando esse auxiliar, o utilitário DOS DEBUG converte o dump hexadecimal de volta para o formato binário EXE e o executa. O componente EXE do vírus assume o controle, ele é executado e infecta arquivos EXE no disco rígido, conforme descrito acima.

A versão conhecida do vírus tem um bug aqui e não pode criar arquivos EXE a partir do componente de vírus de macro. Como resultado, os arquivos EXE do Windows permanecem não infectados.

Infecção de EXE -> Macro

A rotina que baixa o componente de macro para o Word de arquivos EXE infectados é ativada logo após a conclusão da pesquisa e do processo de arquivos EXE do disco infectante. Essa rotina é mais complexa do que outras descritas acima e precisa de mais arquivos temporários para transportar o código de vírus do EXE para o Word. O vírus cria três arquivos principais aqui: 

FABI.SYS - "EXE" arquivo EXE "EXE" que recebe infecção pelo componente de vírus EXEFABI.SRC - o código de macro do vírus de origem, mais dados binários FABI.SYSconvertido em cadeias ASCII hexadecimaisNORMAL.DOT - Modelo do Word com uma pequena macro que completa o vírusinstalação: importa o principal código de vírus da FABI.SRC paraNORMAL.DOT

Para começar a se espalhar de EXE para o Word, o vírus cria um arquivo EXE PE C: FABI.SYS e o infecta. O vírus, em seguida, cria o arquivo C: FABI.SYS e grava seu código-fonte AutoClose do programa de macro para lá. Em seguida, ele anexa a esse arquivo os dados do arquivo C: FABI.SYS convertidos em linhas ASCII hexadecimais. Para concluir esta etapa, o vírus cria um arquivo NORMAL.DOT especialmente preparado. O vírus procura um bom lugar para soltar este arquivo nos diretórios: 

C: ARQUIV ~ 1 / MICROS ~? / MODELOSC: ARQUIVO 1 / MICROS ~? / MODELOSC: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1

Onde '?' é contado de 1 a 9. O arquivo NORMAL.DOT que é criado no primeiro diretório encontrado contém uma pequena AutoExec macro que é ativada quando o MS Word é iniciado. Essa macro apenas importa o código-fonte da macro de vírus do arquivo C: FABI.SRC e conclui o procedimento de instalação do vírus: o NORMAL.DOT agora está infectado por um código de vírus completo.

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Related articles
17 April 2025
Securelist
IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia
16 April 2025
Securelist
Streamlining detection engineering in security operation centers
10 April 2025
Securelist
GOFFEE continues to attack organizations in Russia
08 April 2025
Securelist
Attackers distributing a miner and the ClipBanker Trojan via SourceForge
07 April 2025
Securelist
How ToddyCat tried to hide behind AV software
04 April 2025
Securelist
A journey into forgotten Null Session and MS-RPC interfaces, part 2
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Ameaça
Confirm changes?
Your message has been sent successfully.