ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Multi.Moridin

Classe Virus
Plataforma Multi
Descrição

Detalhes técnicos

Este é um vírus multiplataforma infectando sistemas Win32. O vírus infecta arquivos executáveis ​​Win32, documentos do MS Word e se espalha por e-mail através de canais de IRC, além de infectar a rede local. O vírus também tem capacidade de backdoor .

O vírus tem cerca de 70K de tamanho, e há vários outros componentes incorporados: Win32 EXE "helper" (aplicativo adicional), modelo Word, fonte de componente macro Word, além de vários programas de script: VBS, mIRC, PIRCH e vIRC . As rotinas de vírus EXE são escritas no Assembler.

O vírus pode ser encontrado em várias formas:

– arquivo EXE PE infectado
– Ajudante EXE
– documentos infectados do Word
– script VBS
– IRC sctiprs

Ao se espalhar via e-mail pela rede e pelos canais de IRC, o worm nomeia suas cópias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE.

Componente de vírus PE EXE – Arquivos Infected PE EXE

Infectando arquivos EXE do PE

Ao infectar um arquivo EXE PE, o vírus aumenta o tamanho da última seção do arquivo, criptografa a si mesmo com uma rotina polimórfica e grava a si mesmo aqui. O código polimórfico é de complexidade média.

Para obter controle quando um arquivo infectado é executado, o vírus corrige o código de entrada do arquivo com um código semi-polimórfico curto que passa imediatamente o controle para um loop de descriptografia polimórfico quando um arquivo infectado é executado.

Execução de Arquivos Infectados

Quando um arquivo infectado é executado, o código polimórfico do vírus ganha controle, descriptografa o código de vírus principal e transfere o controle aqui. O vírus então cria quatro arquivos no diretório do sistema Windows:

ADVAPI33.EXE (nota: "33" não "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

os três primeiros arquivos contêm o mesmo código – um auxiliar de vírus 60K (veja abaixo) – que é um arquivo EXE PE e é executado como um aplicativo típico do Windows. Esses arquivos são usados ​​por outros componentes de vírus para infectar documentos do Word, além de espalhar o vírus por meio de canais de IRC e e-mail (veja abaixo).

O PACKED.EXE e o MMSYSTEM.BIN são infectados pelo vírus da mesma forma que outros arquivos EXE estão infectados (veja acima). Como resultado, o tamanho desses arquivos é aumentado para 130K (60K de auxiliar, mais 70K de código de vírus completo), e o código do auxiliar é duplicado aqui (o auxiliar é infectado por um vírus que possui outro auxiliar incorporado nele). ).

O arquivo COMMDLG.VBS contém o VBScript, que espalha o vírus na Internet por meio de mensagens de e-mail.

Chaves de registro do sistema

O vírus então modifica as chaves de registro do sistema. Cria as seguintes chaves:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Sinalizadores = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Caminho = "C:"
Comentário = ""
Digite = 0

e exclui a seguinte chave:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

modifica as seguintes chaves:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

onde% SystemDir% é o nome do diretório do sistema Windows.

O "1" faz com que o sistema execute o ajudante de vírus quando cada arquivo EXE é executado (veja abaixo). O "2" ativa um componente VBS que envia email afetado na inicialização do Windows. O "3" parece ser um carimbo de identificação de vírus. O "4" habilita o processamento automático do arquivo AUTORUN.INF. O "5" permite que um componente backdoor obtenha senhas do sistema (o código do vírus não contém uma rotina para isso, mas pode ser baixado e instalado, veja abaixo). O "6" é outro carimbo de identificação de vírus usado pelo componente de vírus do MS Word para localizar o diretório exato em que estão localizados outros componentes de vírus.

Se o vírus não conseguir se instalar no diretório de sistema do Windows, ele descartará seus arquivos no diretório temporário do Windows e criará / excluirá / modificará exatamente as mesmas chaves, com a exceção de "3".

Infecção, etc.

O vírus então infecta até cinco arquivos EXE e até cinco arquivos SRC no diretório atual. O vírus usa as máscaras "GOAT * .EXE" e "GOAT * .SCR" para localizar os arquivos, então o vírus é de "pesquisa" e não pode infectar arquivos com nomes padrão. No entanto, esse "recurso" de vírus pode ser facilmente corrigido pelo autor do vírus, e o vírus infectará os arquivos PE EXE de qualquer nome.

Apesar do fato de que esta versão de vírus infecta apenas arquivos GOAT *, ele verifica um arquivo em busca de um nome de antivírus e ignora a infecção. O vírus detecta programas antivírus de acordo com os quatro primeiros caracteres do nome:

FSAV PAND INOC TBSC NAVS NAVX NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM

O vírus também não infecta os autoextratores WinZip.

O vírus exclui os seguintes arquivos de dados do antivírus:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Este componente de vírus contém os textos:

– [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Tia mi aven Moridin vadin
"O túmulo não é bar para o meu chamado"

Execução do Ajudante de Vírus

O ajudante de vírus é ativado em qualquer execução de arquivo EXE (causada pela chave de registro do sistema "1", veja acima). Como uma linha de comando, o auxiliar obtém o nome do arquivo EXE esperado para ser executado e a linha de comando. O auxiliar presta atenção ao nome do arquivo EXE e aos argumentos da linha de comando.

Quando qualquer um dos clientes mIRC, PIRCH ou vIRC é executado, o vírus os afeta. Ele faz uma cópia em si no diretório atual com o nome CRACK.EXE e cria um arquivo de script ou arquivos correspondentes que enviam o arquivo CRACK.EXE infectado para um usuário. O arquivo ou entra no canal de IRC (no caso de um cliente vIRC), ou envia um texto para o canal com a palavra "crack" (mIRC, PIRCH).

Arquivos de script criados pelo vírus:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

No caso de um usuário tentar executar o REGEDIT.EXE ou um programa antivírus, o vírus simplesmente encerrará essa solicitação. A lista desses nomes de arquivos é a seguinte:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Quando um arquivo é executado correspondendo a um dos três nomes de "arquivo de vírus": CRAC *, PACK *, MMSY * ou um arquivo com o nome SETU *, o vírus encerra o arquivo e exibe uma falsa mensagem de erro:

Autoextrator WinZip
Cabeçalho do WinZip Self-Extractor corrompido.
Possível causa: erro de disco ou transferência de arquivos inválido

Na instância em que a linha de comando contém uma referência a um arquivo .DOC, o vírus anexa seu arquivo PACKED.EXE ao final do arquivo. Essa adição será usada posteriormente para espalhar o vírus dos documentos do Word afetados.

O ajudante de vírus também descarta mais dois arquivos para migrar para o ambiente MS Word:

NORMAL.DOT para o diretório de templates do MS Word
IMPMORI.DRV para o diretório de sistema do Windows

O modelo NORMAL.DOT contém um "carregador" de vírus que obtém as macros de vírus completas do arquivo IMPMORI.DRV.

Os ajudantes de vírus também desabilitam a proteção de macro-vírus no registro do sistema, bem como procuram por programas residentes na memória antivírus e os terminam:

Monitor AVP
Monitor antivírus do Amon
Versão de avaliação do Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect

Páginas HTML também são afetadas pelo vírus. Na instância em que um arquivo .HTM é encontrado no diretório atual, o vírus se copia aqui com o nome SETUP.EXE e anexa um link "Download" ao arquivo HTM. Clicar neste link resulta em uma janela padrão "Download de arquivo".

Dependendo do contador aleatório, o ajudante de vírus também define o rótulo de volume "W32Moridin" para a unidade atual.

Infectando uma rede

O recurso auxiliar de vírus não está concluído, pois também espalha o vírus pela rede local se houver unidades compartilhadas para acesso total. O ajudante de vírus os enumera e tenta afetá-los de duas maneiras.

1. O vírus se copia aqui com o nome NETX.EXE e cria o arquivo auto-executado AUTORUN.INF aqui com um comando que ativa uma cópia de vírus no arquivo NETX.EXE.

2. O vírus procura o diretório do Windows na unidade. Se houver um diretório com um nome semelhante ao "Windows", o vírus se copia aqui com o nome INIT.EXE e registra essa cópia no arquivo WIN.INI na seção de execução automática.

Infectando máquinas remotas

Além da infecção na intranet, o vírus também tenta infectar as máquinas remotas de uma outra maneira. O vírus procura ver se um dos aplicativos da Internet listados abaixo é executado:

Monitor GetRight
Microsoft Outlook
Janela ICQMsgAPI
Links da WWW
PIRCH98
Janela de soquetes

Nesse caso, o vírus obtém o endereço IP do host (a máquina à qual o computador infectado está conectado) e, em seguida, verifica a sub-rede do host (geralmente a sub-rede da classe C) quanto à presença de backdoor do NetBus. Se houver uma máquina infectada pelo NetBus, o vírus envia sua cópia aqui e força o NetBus a executá-la.

Rotina de backdoor

O ajudante de vírus também possui sua própria rotina Backdoor com apenas quatro comandos implementados:

– abre e fecha a porta do CD
– transfere e gera um arquivo
– termina em si (rotina backdoor)
– exibe uma mensagem, o título da caixa de mensagem contém o seguinte texto:

[W97-2K / Win32.Moridin 1.0] por Asmodeus iKX

E-mail infectado

O vírus usa dois sistemas de email para se espalhar: MS Outlook e Pegasus. O primeiro método é realizado no componente de vírus VBS e o segundo no programa de macro de vírus do MS Word.

MS Outlook

Para espalhar-se por mensagens de email, o arquivo de vírus COMMDLG.VBS se conecta ao MS Outlook, obtém todos os endereços do catálogo de endereços e envia sua cópia (o arquivo PACKED.EXE) aqui anexado à mensagem. A mensagem tem um Assunto, Corpo e Assinatura selecionados aleatoriamente:

Assunto: "ALERTA DE VÍRUS!"
Body: "Há um worm VBS espalhando por e-mail, proteja-se!
Não abra nenhum anexo chamado FREE-SEX.VBS "

Assunto: "Utopia / Earth 2025 tutoriais"
Body: "Olá a todos, confira este jogo! Www.games.esite.com.
Alguns tutoriais estão anexados à mensagem "

Assunto: "É assim que eu pareço :)"
Corpo: "Aqui estão algumas fotos minhas, você gostou? :)"

A assinatura é selecionada das seguintes variantes:

Saudações,
Atenciosamente,
Tenha um bom dia,

Ele é preenchido com o nome e o nome da organização do proprietário do computador. O vírus obtém esses dados do registro do sistema.

O arquivo VBS do vírus é executado em cada reinicialização do Windows. Para evitar envios duplicados, o vírus cria a chave de registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

e sai da rotina de propagação de email se essa chave já estiver presente no registro.

Pégaso

O componente macro no documento do MS Word infectado procura o cliente de correio Pegasus instalado no sistema. O vírus seleciona um endereço do banco de dados do Pegasus e envia um documento ativo aqui. A mensagem tem um dos seguintes textos:

Veja isso!

BAAAAAAAM! Você acabou de ser atingido por um anexo, esta é a guerra de apego! Bata em alguém, AGORA!

Infectando o MS Word

O vírus afeta o MS Word sendo executado a partir do arquivo NORMAL.DOT (veja acima). Um pequeno programa de macro aqui obtém a macro de vírus principal do arquivo IMPMORI.DRV no diretório de sistema do Windows e a transfere para NORMAL.DOT.

A macro de vírus principal contém três rotinas: envio de uma cópia de vírus por e-mail usando o Pegasus (veja acima); infectar outros documentos do MS Word; extrair e gerar um componente PE EXE do documento.

Documentos do MS Word são infectados quando eles são abertos pelo Word. O vírus simplesmente copia seu código aqui e gera ADVAPI33.EXE com o nome do arquivo de documento na linha de comando, causando o acréscimo do código de vírus EXE ao final do documento.

Para extrair o código EXE do documento do Word, a macro de vírus abre o documento como um arquivo binário, vai até o final do arquivo, lê o componente EXE de vírus, salva-o em um arquivo de disco com o nome W32MORI.EXE no Windows diretório e executa este arquivo. Assim, o componente de vírus EXE ganha controle do documento do Word infectado.


Link para o original