Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus multiplataforma infectando arquivos executáveis do Windows32 (PE EXE) e documentos e modelos do MS Word. Como cada vírus multi-plataforma seu código contém várias partes (componentes), cada um deles faz seu trabalho em seu ambiente nativo: como um aplicativo Win32 no MS Windows, ou como um programa de macro no MS Word. Quando qualquer um dos dois componentes de vírus é iniciado em seu ambiente, ele não apenas infecta objetos nesse ambiente, mas também espalha o código de vírus para outro: do arquivo EXE do Windows para documentos do Word e do documento do Word para arquivos EXE do Windows.

O vírus não contém qualquer destruição e não se manifesta de forma alguma. Os arquivos EXE infectados contêm o texto:



(c) Vecna

Parecia inofensiva mas te dominou …

Infectando EXE -> EXE

Quando um arquivo EXE infectado é executado, o componente de vírus EXE assume o controle. Ele verifica o tipo de sistema operacional instalado e, se for o Windows NT, o vírus retorna o controle para o programa host e não executa nenhuma outra ação. O vírus executa sua rotina de infecção somente quando é executado no Windows95 / 98. Essa rotina procura e infecta todos os arquivos executáveis do Win32 no diretório atual, bem como nos diretórios WINDOWS e WINDOWSSYSTEM. Ao infectar o vírus, ele grava seu código no final da última seção, aumenta seu tamanho e modifica os campos de cabeçalho PE necessários.

Por causa de um bug, o vírus corrompe os arquivos EXE no caso de o último tamanho da seção ser maior que 64Kb – o vírus grava seu código no meio do arquivo, e o programa corrompido fica inutilizável e não funciona mais.

Infectando Macro -> Macro, Macro -> EXE

Em documentos e modelos infectados, o vírus contém uma macro AutoClose. Ele se instala na área macro global do Word ao abrir um documento infectado e infecta outros documentos em que eles são fechados. Para copiar seu código de um documento / modelo para outro, o vírus usa instruções de edição de código de macro.

Para executar o arquivo EXE do Windows infectado, o vírus usa a maneira padrão. Os dados binários do arquivo EXE são armazenados em macros de vírus em picadas de texto – os dados binários EXE são convertidos em despejo hexadecimal ASCII. O vírus salva esses dados no disco, cria um auxiliar temporário do DOS BAT e, usando esse auxiliar, o utilitário DOS DEBUG converte o dump hexadecimal de volta para o formato binário EXE e o executa. O componente EXE do vírus assume o controle, ele é executado e infecta arquivos EXE no disco rígido, conforme descrito acima.

A versão conhecida do vírus tem um bug aqui e não pode criar arquivos EXE a partir do componente de vírus de macro. Como resultado, os arquivos EXE do Windows permanecem não infectados.

Infecção de EXE -> Macro

A rotina que baixa o componente de macro para o Word de arquivos EXE infectados é ativada logo após a conclusão da pesquisa e do processo de arquivos EXE do disco infectante. Essa rotina é mais complexa do que outras descritas acima e precisa de mais arquivos temporários para transportar o código de vírus do EXE para o Word. O vírus cria três arquivos principais aqui:



FABI.SYS – "EXE" arquivo EXE "EXE" que recebe infecção pelo componente de vírus EXE

FABI.SRC – o código de macro do vírus de origem, mais dados binários FABI.SYS

convertido em cadeias ASCII hexadecimais

NORMAL.DOT – Modelo do Word com uma pequena macro que completa o vírus

instalação: importa o principal código de vírus da FABI.SRC para

NORMAL.DOT

Para começar a se espalhar de EXE para o Word, o vírus cria um arquivo EXE PE C: FABI.SYS e o infecta. O vírus, em seguida, cria o arquivo C: FABI.SYS e grava seu código-fonte AutoClose do programa de macro para lá. Em seguida, ele anexa a esse arquivo os dados do arquivo C: FABI.SYS convertidos em linhas ASCII hexadecimais. Para concluir esta etapa, o vírus cria um arquivo NORMAL.DOT especialmente preparado. O vírus procura um bom lugar para soltar este arquivo nos diretórios:



C: ARQUIV ~ 1 / MICROS ~? / MODELOS

C: ARQUIVO 1 / MICROS ~? / MODELOS

C: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1

Onde '?' é contado de 1 a 9. O arquivo NORMAL.DOT que é criado no primeiro diretório encontrado contém uma pequena AutoExec macro que é ativada quando o MS Word é iniciado. Essa macro apenas importa o código-fonte da macro de vírus do arquivo C: FABI.SRC e conclui o procedimento de instalação do vírus: o NORMAL.DOT agora está infectado por um código de vírus completo.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	Multi
Descrição	Detalhes técnicos Este é um vírus multiplataforma infectando arquivos executáveis do Windows32 (PE EXE) e documentos e modelos do MS Word. Como cada vírus multi-plataforma seu código contém várias partes (componentes), cada um deles faz seu trabalho em seu ambiente nativo: como um aplicativo Win32 no MS Windows, ou como um programa de macro no MS Word. Quando qualquer um dos dois componentes de vírus é iniciado em seu ambiente, ele não apenas infecta objetos nesse ambiente, mas também espalha o código de vírus para outro: do arquivo EXE do Windows para documentos do Word e do documento do Word para arquivos EXE do Windows. O vírus não contém qualquer destruição e não se manifesta de forma alguma. Os arquivos EXE infectados contêm o texto: (c) Vecna Parecia inofensiva mas te dominou … Infectando EXE -> EXE Quando um arquivo EXE infectado é executado, o componente de vírus EXE assume o controle. Ele verifica o tipo de sistema operacional instalado e, se for o Windows NT, o vírus retorna o controle para o programa host e não executa nenhuma outra ação. O vírus executa sua rotina de infecção somente quando é executado no Windows95 / 98. Essa rotina procura e infecta todos os arquivos executáveis do Win32 no diretório atual, bem como nos diretórios WINDOWS e WINDOWSSYSTEM. Ao infectar o vírus, ele grava seu código no final da última seção, aumenta seu tamanho e modifica os campos de cabeçalho PE necessários. Por causa de um bug, o vírus corrompe os arquivos EXE no caso de o último tamanho da seção ser maior que 64Kb – o vírus grava seu código no meio do arquivo, e o programa corrompido fica inutilizável e não funciona mais. Infectando Macro -> Macro, Macro -> EXE Em documentos e modelos infectados, o vírus contém uma macro AutoClose. Ele se instala na área macro global do Word ao abrir um documento infectado e infecta outros documentos em que eles são fechados. Para copiar seu código de um documento / modelo para outro, o vírus usa instruções de edição de código de macro. Para executar o arquivo EXE do Windows infectado, o vírus usa a maneira padrão. Os dados binários do arquivo EXE são armazenados em macros de vírus em picadas de texto – os dados binários EXE são convertidos em despejo hexadecimal ASCII. O vírus salva esses dados no disco, cria um auxiliar temporário do DOS BAT e, usando esse auxiliar, o utilitário DOS DEBUG converte o dump hexadecimal de volta para o formato binário EXE e o executa. O componente EXE do vírus assume o controle, ele é executado e infecta arquivos EXE no disco rígido, conforme descrito acima. A versão conhecida do vírus tem um bug aqui e não pode criar arquivos EXE a partir do componente de vírus de macro. Como resultado, os arquivos EXE do Windows permanecem não infectados. Infecção de EXE -> Macro A rotina que baixa o componente de macro para o Word de arquivos EXE infectados é ativada logo após a conclusão da pesquisa e do processo de arquivos EXE do disco infectante. Essa rotina é mais complexa do que outras descritas acima e precisa de mais arquivos temporários para transportar o código de vírus do EXE para o Word. O vírus cria três arquivos principais aqui: FABI.SYS – "EXE" arquivo EXE "EXE" que recebe infecção pelo componente de vírus EXE FABI.SRC – o código de macro do vírus de origem, mais dados binários FABI.SYS convertido em cadeias ASCII hexadecimais NORMAL.DOT – Modelo do Word com uma pequena macro que completa o vírus instalação: importa o principal código de vírus da FABI.SRC para NORMAL.DOT Para começar a se espalhar de EXE para o Word, o vírus cria um arquivo EXE PE C: FABI.SYS e o infecta. O vírus, em seguida, cria o arquivo C: FABI.SYS e grava seu código-fonte AutoClose do programa de macro para lá. Em seguida, ele anexa a esse arquivo os dados do arquivo C: FABI.SYS convertidos em linhas ASCII hexadecimais. Para concluir esta etapa, o vírus cria um arquivo NORMAL.DOT especialmente preparado. O vírus procura um bom lugar para soltar este arquivo nos diretórios: C: ARQUIV ~ 1 / MICROS ~? / MODELOS C: ARQUIVO 1 / MICROS ~? / MODELOS C: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1 Onde '?' é contado de 1 a 9. O arquivo NORMAL.DOT que é criado no primeiro diretório encontrado contém uma pequena AutoExec macro que é ativada quando o MS Word é iniciado. Essa macro apenas importa o código-fonte da macro de vírus do arquivo C: FABI.SRC e conclui o procedimento de instalação do vírus: o NORMAL.DOT agora está infectado por um código de vírus completo.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.Multi.Fabi

Detalhes técnicos

Infectando EXE -> EXE

Infectando Macro -> Macro, Macro -> EXE

Infecção de EXE -> Macro