Classe principal: VirWare
Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.Classe: Virus
Os vírus replicam nos recursos da máquina local. Ao contrário dos worms, os vírus não usam serviços de rede para propagar ou penetrar em outros computadores. Uma cópia de um vírus só chegará aos computadores remotos se o objeto infectado, por algum motivo não relacionado à função de vírus, estiver ativado em outro computador. Por exemplo: ao infectar discos acessíveis, um vírus penetra em um arquivo localizado em um recurso de rede, um vírus se copia para um dispositivo de armazenamento removível ou infecta um arquivo em um dispositivo removível que um usuário envia um email com um anexo infectado.Plataforma: Multi
No platform descriptionDescrição
Detalhes técnicos
Este é um vírus multiplataforma infectando sistemas Win32. O vírus infecta arquivos executáveis Win32, documentos do MS Word e se espalha por e-mail através de canais de IRC, além de infectar a rede local. O vírus também tem capacidade de backdoor .
O vírus tem cerca de 70K de tamanho, e há vários outros componentes incorporados: Win32 EXE "helper" (aplicativo adicional), modelo Word, fonte de componente macro Word, além de vários programas de script: VBS, mIRC, PIRCH e vIRC . As rotinas de vírus EXE são escritas no Assembler.
O vírus pode ser encontrado em várias formas:
- arquivo EXE PE infectado
- Ajudante EXE
- documentos infectados do Word
- script VBS
- IRC sctiprs
Ao se espalhar via e-mail pela rede e pelos canais de IRC, o worm nomeia suas cópias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE.
Componente de vírus PE EXE - Arquivos Infected PE EXE
Infectando arquivos EXE do PE
Ao infectar um arquivo EXE PE, o vírus aumenta o tamanho da última seção do arquivo, criptografa a si mesmo com uma rotina polimórfica e grava a si mesmo aqui. O código polimórfico é de complexidade média.
Para obter controle quando um arquivo infectado é executado, o vírus corrige o código de entrada do arquivo com um código semi-polimórfico curto que passa imediatamente o controle para um loop de descriptografia polimórfico quando um arquivo infectado é executado.
Execução de Arquivos Infectados
Quando um arquivo infectado é executado, o código polimórfico do vírus ganha controle, descriptografa o código de vírus principal e transfere o controle aqui. O vírus então cria quatro arquivos no diretório do sistema Windows:
ADVAPI33.EXE (nota: "33" não "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS
os três primeiros arquivos contêm o mesmo código - um auxiliar de vírus 60K (veja abaixo) - que é um arquivo EXE PE e é executado como um aplicativo típico do Windows. Esses arquivos são usados por outros componentes de vírus para infectar documentos do Word, além de espalhar o vírus por meio de canais de IRC e e-mail (veja abaixo).
O PACKED.EXE e o MMSYSTEM.BIN são infectados pelo vírus da mesma forma que outros arquivos EXE estão infectados (veja acima). Como resultado, o tamanho desses arquivos é aumentado para 130K (60K de auxiliar, mais 70K de código de vírus completo), e o código do auxiliar é duplicado aqui (o auxiliar é infectado por um vírus que possui outro auxiliar incorporado nele). ).
O arquivo COMMDLG.VBS contém o VBScript, que espalha o vírus na Internet por meio de mensagens de e-mail.
Chaves de registro do sistema
O vírus então modifica as chaves de registro do sistema. Cria as seguintes chaves:
1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "
2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS
3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $
Sinalizadores = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Caminho = "C:"
Comentário = ""
Digite = 0
e exclui a seguinte chave:
4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun
modifica as seguintes chaves:
5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0
6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"
onde% SystemDir% é o nome do diretório do sistema Windows.
O "1" faz com que o sistema execute o ajudante de vírus quando cada arquivo EXE é executado (veja abaixo). O "2" ativa um componente VBS que envia email afetado na inicialização do Windows. O "3" parece ser um carimbo de identificação de vírus. O "4" habilita o processamento automático do arquivo AUTORUN.INF. O "5" permite que um componente backdoor obtenha senhas do sistema (o código do vírus não contém uma rotina para isso, mas pode ser baixado e instalado, veja abaixo). O "6" é outro carimbo de identificação de vírus usado pelo componente de vírus do MS Word para localizar o diretório exato em que estão localizados outros componentes de vírus.
Se o vírus não conseguir se instalar no diretório de sistema do Windows, ele descartará seus arquivos no diretório temporário do Windows e criará / excluirá / modificará exatamente as mesmas chaves, com a exceção de "3".
Infecção, etc.
O vírus então infecta até cinco arquivos EXE e até cinco arquivos SRC no diretório atual. O vírus usa as máscaras "GOAT * .EXE" e "GOAT * .SCR" para localizar os arquivos, então o vírus é de "pesquisa" e não pode infectar arquivos com nomes padrão. No entanto, esse "recurso" de vírus pode ser facilmente corrigido pelo autor do vírus, e o vírus infectará os arquivos PE EXE de qualquer nome.
Apesar do fato de que esta versão de vírus infecta apenas arquivos GOAT *, ele verifica um arquivo em busca de um nome de antivírus e ignora a infecção. O vírus detecta programas antivírus de acordo com os quatro primeiros caracteres do nome:
FSAV PAND INOC TBSC NAVS NAVX NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM
O vírus também não infecta os autoextratores WinZip.
O vírus exclui os seguintes arquivos de dados do antivírus:
CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC
Este componente de vírus contém os textos:
- [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Tia mi aven Moridin vadin
"O túmulo não é bar para o meu chamado"
Execução do Ajudante de Vírus
O ajudante de vírus é ativado em qualquer execução de arquivo EXE (causada pela chave de registro do sistema "1", veja acima). Como uma linha de comando, o auxiliar obtém o nome do arquivo EXE esperado para ser executado e a linha de comando. O auxiliar presta atenção ao nome do arquivo EXE e aos argumentos da linha de comando.
Quando qualquer um dos clientes mIRC, PIRCH ou vIRC é executado, o vírus os afeta. Ele faz uma cópia em si no diretório atual com o nome CRACK.EXE e cria um arquivo de script ou arquivos correspondentes que enviam o arquivo CRACK.EXE infectado para um usuário. O arquivo ou entra no canal de IRC (no caso de um cliente vIRC), ou envia um texto para o canal com a palavra "crack" (mIRC, PIRCH).
Arquivos de script criados pelo vírus:
MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB
No caso de um usuário tentar executar o REGEDIT.EXE ou um programa antivírus, o vírus simplesmente encerrará essa solicitação. A lista desses nomes de arquivos é a seguinte:
REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *
Quando um arquivo é executado correspondendo a um dos três nomes de "arquivo de vírus": CRAC *, PACK *, MMSY * ou um arquivo com o nome SETU *, o vírus encerra o arquivo e exibe uma falsa mensagem de erro:
Autoextrator WinZip
Cabeçalho do WinZip Self-Extractor corrompido.
Possível causa: erro de disco ou transferência de arquivos inválido
Na instância em que a linha de comando contém uma referência a um arquivo .DOC, o vírus anexa seu arquivo PACKED.EXE ao final do arquivo. Essa adição será usada posteriormente para espalhar o vírus dos documentos do Word afetados.
O ajudante de vírus também descarta mais dois arquivos para migrar para o ambiente MS Word:
NORMAL.DOT para o diretório de templates do MS Word
IMPMORI.DRV para o diretório de sistema do Windows
O modelo NORMAL.DOT contém um "carregador" de vírus que obtém as macros de vírus completas do arquivo IMPMORI.DRV.
Os ajudantes de vírus também desabilitam a proteção de macro-vírus no registro do sistema, bem como procuram por programas residentes na memória antivírus e os terminam:
Monitor AVP
Monitor antivírus do Amon
Versão de avaliação do Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect
Páginas HTML também são afetadas pelo vírus. Na instância em que um arquivo .HTM é encontrado no diretório atual, o vírus se copia aqui com o nome SETUP.EXE e anexa um link "Download" ao arquivo HTM. Clicar neste link resulta em uma janela padrão "Download de arquivo".
Dependendo do contador aleatório, o ajudante de vírus também define o rótulo de volume "W32Moridin" para a unidade atual.
Infectando uma rede
O recurso auxiliar de vírus não está concluído, pois também espalha o vírus pela rede local se houver unidades compartilhadas para acesso total. O ajudante de vírus os enumera e tenta afetá-los de duas maneiras.
1. O vírus se copia aqui com o nome NETX.EXE e cria o arquivo auto-executado AUTORUN.INF aqui com um comando que ativa uma cópia de vírus no arquivo NETX.EXE.
2. O vírus procura o diretório do Windows na unidade. Se houver um diretório com um nome semelhante ao "Windows", o vírus se copia aqui com o nome INIT.EXE e registra essa cópia no arquivo WIN.INI na seção de execução automática.
Infectando máquinas remotas
Além da infecção na intranet, o vírus também tenta infectar as máquinas remotas de uma outra maneira. O vírus procura ver se um dos aplicativos da Internet listados abaixo é executado:
Monitor GetRight
Microsoft Outlook
Janela ICQMsgAPI
Links da WWW
PIRCH98
Janela de soquetes
Nesse caso, o vírus obtém o endereço IP do host (a máquina à qual o computador infectado está conectado) e, em seguida, verifica a sub-rede do host (geralmente a sub-rede da classe C) quanto à presença de backdoor do NetBus. Se houver uma máquina infectada pelo NetBus, o vírus envia sua cópia aqui e força o NetBus a executá-la.
Rotina de backdoor
O ajudante de vírus também possui sua própria rotina Backdoor com apenas quatro comandos implementados:
- abre e fecha a porta do CD
- transfere e gera um arquivo
- termina em si (rotina backdoor)
- exibe uma mensagem, o título da caixa de mensagem contém o seguinte texto:[W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
E-mail infectado
O vírus usa dois sistemas de email para se espalhar: MS Outlook e Pegasus. O primeiro método é realizado no componente de vírus VBS e o segundo no programa de macro de vírus do MS Word.
MS Outlook
Para espalhar-se por mensagens de email, o arquivo de vírus COMMDLG.VBS se conecta ao MS Outlook, obtém todos os endereços do catálogo de endereços e envia sua cópia (o arquivo PACKED.EXE) aqui anexado à mensagem. A mensagem tem um Assunto, Corpo e Assinatura selecionados aleatoriamente:
Assunto: "ALERTA DE VÍRUS!"
Body: "Há um worm VBS espalhando por e-mail, proteja-se!
Não abra nenhum anexo chamado FREE-SEX.VBS "
Assunto: "Utopia / Earth 2025 tutoriais"
Body: "Olá a todos, confira este jogo! Www.games.esite.com.
Alguns tutoriais estão anexados à mensagem "
Assunto: "É assim que eu pareço :)"
Corpo: "Aqui estão algumas fotos minhas, você gostou? :)"
A assinatura é selecionada das seguintes variantes:
Saudações,
Atenciosamente,
Tenha um bom dia,
Ele é preenchido com o nome e o nome da organização do proprietário do computador. O vírus obtém esses dados do registro do sistema.
O arquivo VBS do vírus é executado em cada reinicialização do Windows. Para evitar envios duplicados, o vírus cria a chave de registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0
e sai da rotina de propagação de email se essa chave já estiver presente no registro.
Pégaso
O componente macro no documento do MS Word infectado procura o cliente de correio Pegasus instalado no sistema. O vírus seleciona um endereço do banco de dados do Pegasus e envia um documento ativo aqui. A mensagem tem um dos seguintes textos:
Veja isso!
BAAAAAAAM! Você acabou de ser atingido por um anexo, esta é a guerra de apego! Bata em alguém, AGORA!
Infectando o MS Word
O vírus afeta o MS Word sendo executado a partir do arquivo NORMAL.DOT (veja acima). Um pequeno programa de macro aqui obtém a macro de vírus principal do arquivo IMPMORI.DRV no diretório de sistema do Windows e a transfere para NORMAL.DOT.
A macro de vírus principal contém três rotinas: envio de uma cópia de vírus por e-mail usando o Pegasus (veja acima); infectar outros documentos do MS Word; extrair e gerar um componente PE EXE do documento.
Documentos do MS Word são infectados quando eles são abertos pelo Word. O vírus simplesmente copia seu código aqui e gera ADVAPI33.EXE com o nome do arquivo de documento na linha de comando, causando o acréscimo do código de vírus EXE ao final do documento.
Para extrair o código EXE do documento do Word, a macro de vírus abre o documento como um arquivo binário, vai até o final do arquivo, lê o componente EXE de vírus, salva-o em um arquivo de disco com o nome W32MORI.EXE no Windows diretório e executa este arquivo. Assim, o componente de vírus EXE ganha controle do documento do Word infectado.
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com