Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus multiplataforma infectando sistemas Win32. O vírus infecta arquivos executáveis Win32, documentos do MS Word e se espalha por e-mail através de canais de IRC, além de infectar a rede local. O vírus também tem capacidade de backdoor .

O vírus tem cerca de 70K de tamanho, e há vários outros componentes incorporados: Win32 EXE "helper" (aplicativo adicional), modelo Word, fonte de componente macro Word, além de vários programas de script: VBS, mIRC, PIRCH e vIRC . As rotinas de vírus EXE são escritas no Assembler.

O vírus pode ser encontrado em várias formas:

– arquivo EXE PE infectado
– Ajudante EXE
– documentos infectados do Word
– script VBS
– IRC sctiprs

Ao se espalhar via e-mail pela rede e pelos canais de IRC, o worm nomeia suas cópias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE.

Componente de vírus PE EXE – Arquivos Infected PE EXE

Infectando arquivos EXE do PE

Ao infectar um arquivo EXE PE, o vírus aumenta o tamanho da última seção do arquivo, criptografa a si mesmo com uma rotina polimórfica e grava a si mesmo aqui. O código polimórfico é de complexidade média.

Para obter controle quando um arquivo infectado é executado, o vírus corrige o código de entrada do arquivo com um código semi-polimórfico curto que passa imediatamente o controle para um loop de descriptografia polimórfico quando um arquivo infectado é executado.

Execução de Arquivos Infectados

Quando um arquivo infectado é executado, o código polimórfico do vírus ganha controle, descriptografa o código de vírus principal e transfere o controle aqui. O vírus então cria quatro arquivos no diretório do sistema Windows:

ADVAPI33.EXE (nota: "33" não "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

os três primeiros arquivos contêm o mesmo código – um auxiliar de vírus 60K (veja abaixo) – que é um arquivo EXE PE e é executado como um aplicativo típico do Windows. Esses arquivos são usados por outros componentes de vírus para infectar documentos do Word, além de espalhar o vírus por meio de canais de IRC e e-mail (veja abaixo).

O PACKED.EXE e o MMSYSTEM.BIN são infectados pelo vírus da mesma forma que outros arquivos EXE estão infectados (veja acima). Como resultado, o tamanho desses arquivos é aumentado para 130K (60K de auxiliar, mais 70K de código de vírus completo), e o código do auxiliar é duplicado aqui (o auxiliar é infectado por um vírus que possui outro auxiliar incorporado nele). ).

O arquivo COMMDLG.VBS contém o VBScript, que espalha o vírus na Internet por meio de mensagens de e-mail.

Chaves de registro do sistema

O vírus então modifica as chaves de registro do sistema. Cria as seguintes chaves:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Sinalizadores = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Caminho = "C:"
Comentário = ""
Digite = 0

e exclui a seguinte chave:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

modifica as seguintes chaves:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

onde% SystemDir% é o nome do diretório do sistema Windows.

O "1" faz com que o sistema execute o ajudante de vírus quando cada arquivo EXE é executado (veja abaixo). O "2" ativa um componente VBS que envia email afetado na inicialização do Windows. O "3" parece ser um carimbo de identificação de vírus. O "4" habilita o processamento automático do arquivo AUTORUN.INF. O "5" permite que um componente backdoor obtenha senhas do sistema (o código do vírus não contém uma rotina para isso, mas pode ser baixado e instalado, veja abaixo). O "6" é outro carimbo de identificação de vírus usado pelo componente de vírus do MS Word para localizar o diretório exato em que estão localizados outros componentes de vírus.

Se o vírus não conseguir se instalar no diretório de sistema do Windows, ele descartará seus arquivos no diretório temporário do Windows e criará / excluirá / modificará exatamente as mesmas chaves, com a exceção de "3".

Infecção, etc.

O vírus então infecta até cinco arquivos EXE e até cinco arquivos SRC no diretório atual. O vírus usa as máscaras "GOAT * .EXE" e "GOAT * .SCR" para localizar os arquivos, então o vírus é de "pesquisa" e não pode infectar arquivos com nomes padrão. No entanto, esse "recurso" de vírus pode ser facilmente corrigido pelo autor do vírus, e o vírus infectará os arquivos PE EXE de qualquer nome.

Apesar do fato de que esta versão de vírus infecta apenas arquivos GOAT *, ele verifica um arquivo em busca de um nome de antivírus e ignora a infecção. O vírus detecta programas antivírus de acordo com os quatro primeiros caracteres do nome:

FSAV PAND INOC TBSC NAVS NAVX NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM

O vírus também não infecta os autoextratores WinZip.

O vírus exclui os seguintes arquivos de dados do antivírus:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Este componente de vírus contém os textos:

– [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Tia mi aven Moridin vadin
"O túmulo não é bar para o meu chamado"

Execução do Ajudante de Vírus

O ajudante de vírus é ativado em qualquer execução de arquivo EXE (causada pela chave de registro do sistema "1", veja acima). Como uma linha de comando, o auxiliar obtém o nome do arquivo EXE esperado para ser executado e a linha de comando. O auxiliar presta atenção ao nome do arquivo EXE e aos argumentos da linha de comando.

Quando qualquer um dos clientes mIRC, PIRCH ou vIRC é executado, o vírus os afeta. Ele faz uma cópia em si no diretório atual com o nome CRACK.EXE e cria um arquivo de script ou arquivos correspondentes que enviam o arquivo CRACK.EXE infectado para um usuário. O arquivo ou entra no canal de IRC (no caso de um cliente vIRC), ou envia um texto para o canal com a palavra "crack" (mIRC, PIRCH).

Arquivos de script criados pelo vírus:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

No caso de um usuário tentar executar o REGEDIT.EXE ou um programa antivírus, o vírus simplesmente encerrará essa solicitação. A lista desses nomes de arquivos é a seguinte:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Quando um arquivo é executado correspondendo a um dos três nomes de "arquivo de vírus": CRAC *, PACK *, MMSY * ou um arquivo com o nome SETU *, o vírus encerra o arquivo e exibe uma falsa mensagem de erro:

Autoextrator WinZip
Cabeçalho do WinZip Self-Extractor corrompido.
Possível causa: erro de disco ou transferência de arquivos inválido

Na instância em que a linha de comando contém uma referência a um arquivo .DOC, o vírus anexa seu arquivo PACKED.EXE ao final do arquivo. Essa adição será usada posteriormente para espalhar o vírus dos documentos do Word afetados.

O ajudante de vírus também descarta mais dois arquivos para migrar para o ambiente MS Word:

NORMAL.DOT para o diretório de templates do MS Word
IMPMORI.DRV para o diretório de sistema do Windows

O modelo NORMAL.DOT contém um "carregador" de vírus que obtém as macros de vírus completas do arquivo IMPMORI.DRV.

Os ajudantes de vírus também desabilitam a proteção de macro-vírus no registro do sistema, bem como procuram por programas residentes na memória antivírus e os terminam:

Monitor AVP
Monitor antivírus do Amon
Versão de avaliação do Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect

Páginas HTML também são afetadas pelo vírus. Na instância em que um arquivo .HTM é encontrado no diretório atual, o vírus se copia aqui com o nome SETUP.EXE e anexa um link "Download" ao arquivo HTM. Clicar neste link resulta em uma janela padrão "Download de arquivo".

Dependendo do contador aleatório, o ajudante de vírus também define o rótulo de volume "W32Moridin" para a unidade atual.

Infectando uma rede

O recurso auxiliar de vírus não está concluído, pois também espalha o vírus pela rede local se houver unidades compartilhadas para acesso total. O ajudante de vírus os enumera e tenta afetá-los de duas maneiras.

1. O vírus se copia aqui com o nome NETX.EXE e cria o arquivo auto-executado AUTORUN.INF aqui com um comando que ativa uma cópia de vírus no arquivo NETX.EXE.

2. O vírus procura o diretório do Windows na unidade. Se houver um diretório com um nome semelhante ao "Windows", o vírus se copia aqui com o nome INIT.EXE e registra essa cópia no arquivo WIN.INI na seção de execução automática.

Infectando máquinas remotas

Além da infecção na intranet, o vírus também tenta infectar as máquinas remotas de uma outra maneira. O vírus procura ver se um dos aplicativos da Internet listados abaixo é executado:

Monitor GetRight
Microsoft Outlook
Janela ICQMsgAPI
Links da WWW
PIRCH98
Janela de soquetes

Nesse caso, o vírus obtém o endereço IP do host (a máquina à qual o computador infectado está conectado) e, em seguida, verifica a sub-rede do host (geralmente a sub-rede da classe C) quanto à presença de backdoor do NetBus. Se houver uma máquina infectada pelo NetBus, o vírus envia sua cópia aqui e força o NetBus a executá-la.

Rotina de backdoor

O ajudante de vírus também possui sua própria rotina Backdoor com apenas quatro comandos implementados:

– abre e fecha a porta do CD
– transfere e gera um arquivo
– termina em si (rotina backdoor)
– exibe uma mensagem, o título da caixa de mensagem contém o seguinte texto:

[W97-2K / Win32.Moridin 1.0] por Asmodeus iKX

E-mail infectado

O vírus usa dois sistemas de email para se espalhar: MS Outlook e Pegasus. O primeiro método é realizado no componente de vírus VBS e o segundo no programa de macro de vírus do MS Word.

MS Outlook

Para espalhar-se por mensagens de email, o arquivo de vírus COMMDLG.VBS se conecta ao MS Outlook, obtém todos os endereços do catálogo de endereços e envia sua cópia (o arquivo PACKED.EXE) aqui anexado à mensagem. A mensagem tem um Assunto, Corpo e Assinatura selecionados aleatoriamente:

Assunto: "ALERTA DE VÍRUS!"
Body: "Há um worm VBS espalhando por e-mail, proteja-se!
Não abra nenhum anexo chamado FREE-SEX.VBS "

Assunto: "Utopia / Earth 2025 tutoriais"
Body: "Olá a todos, confira este jogo! Www.games.esite.com.
Alguns tutoriais estão anexados à mensagem "

Assunto: "É assim que eu pareço :)"
Corpo: "Aqui estão algumas fotos minhas, você gostou? :)"

A assinatura é selecionada das seguintes variantes:

Saudações,
Atenciosamente,
Tenha um bom dia,

Ele é preenchido com o nome e o nome da organização do proprietário do computador. O vírus obtém esses dados do registro do sistema.

O arquivo VBS do vírus é executado em cada reinicialização do Windows. Para evitar envios duplicados, o vírus cria a chave de registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

e sai da rotina de propagação de email se essa chave já estiver presente no registro.

Pégaso

O componente macro no documento do MS Word infectado procura o cliente de correio Pegasus instalado no sistema. O vírus seleciona um endereço do banco de dados do Pegasus e envia um documento ativo aqui. A mensagem tem um dos seguintes textos:

Veja isso!

BAAAAAAAM! Você acabou de ser atingido por um anexo, esta é a guerra de apego! Bata em alguém, AGORA!

Infectando o MS Word

O vírus afeta o MS Word sendo executado a partir do arquivo NORMAL.DOT (veja acima). Um pequeno programa de macro aqui obtém a macro de vírus principal do arquivo IMPMORI.DRV no diretório de sistema do Windows e a transfere para NORMAL.DOT.

A macro de vírus principal contém três rotinas: envio de uma cópia de vírus por e-mail usando o Pegasus (veja acima); infectar outros documentos do MS Word; extrair e gerar um componente PE EXE do documento.

Documentos do MS Word são infectados quando eles são abertos pelo Word. O vírus simplesmente copia seu código aqui e gera ADVAPI33.EXE com o nome do arquivo de documento na linha de comando, causando o acréscimo do código de vírus EXE ao final do documento.

Para extrair o código EXE do documento do Word, a macro de vírus abre o documento como um arquivo binário, vai até o final do arquivo, lê o componente EXE de vírus, salva-o em um arquivo de disco com o nome W32MORI.EXE no Windows diretório e executa este arquivo. Assim, o componente de vírus EXE ganha controle do documento do Word infectado.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	Multi
Descrição	Detalhes técnicos Este é um vírus multiplataforma infectando sistemas Win32. O vírus infecta arquivos executáveis Win32, documentos do MS Word e se espalha por e-mail através de canais de IRC, além de infectar a rede local. O vírus também tem capacidade de backdoor . O vírus tem cerca de 70K de tamanho, e há vários outros componentes incorporados: Win32 EXE "helper" (aplicativo adicional), modelo Word, fonte de componente macro Word, além de vários programas de script: VBS, mIRC, PIRCH e vIRC . As rotinas de vírus EXE são escritas no Assembler. O vírus pode ser encontrado em várias formas: – arquivo EXE PE infectado – Ajudante EXE – documentos infectados do Word – script VBS – IRC sctiprs Ao se espalhar via e-mail pela rede e pelos canais de IRC, o worm nomeia suas cópias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE. Componente de vírus PE EXE – Arquivos Infected PE EXE Infectando arquivos EXE do PE Ao infectar um arquivo EXE PE, o vírus aumenta o tamanho da última seção do arquivo, criptografa a si mesmo com uma rotina polimórfica e grava a si mesmo aqui. O código polimórfico é de complexidade média. Para obter controle quando um arquivo infectado é executado, o vírus corrige o código de entrada do arquivo com um código semi-polimórfico curto que passa imediatamente o controle para um loop de descriptografia polimórfico quando um arquivo infectado é executado. Execução de Arquivos Infectados Quando um arquivo infectado é executado, o código polimórfico do vírus ganha controle, descriptografa o código de vírus principal e transfere o controle aqui. O vírus então cria quatro arquivos no diretório do sistema Windows: ADVAPI33.EXE (nota: "33" não "32") PACKED.EXE MMSYSTEM.BIN COMMDLG.VBS os três primeiros arquivos contêm o mesmo código – um auxiliar de vírus 60K (veja abaixo) – que é um arquivo EXE PE e é executado como um aplicativo típico do Windows. Esses arquivos são usados por outros componentes de vírus para infectar documentos do Word, além de espalhar o vírus por meio de canais de IRC e e-mail (veja abaixo). O PACKED.EXE e o MMSYSTEM.BIN são infectados pelo vírus da mesma forma que outros arquivos EXE estão infectados (veja acima). Como resultado, o tamanho desses arquivos é aumentado para 130K (60K de auxiliar, mais 70K de código de vírus completo), e o código do auxiliar é duplicado aqui (o auxiliar é infectado por um vírus que possui outro auxiliar incorporado nele). ). O arquivo COMMDLG.VBS contém o VBScript, que espalha o vírus na Internet por meio de mensagens de e-mail. Chaves de registro do sistema O vírus então modifica as chaves de registro do sistema. Cria as seguintes chaves: 1. HKEY_CLASSES_ROOTexefileshellopencommand default = "% SystemDir% MMSYSTEM.BIN"% 1% * " 2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun mmsystem = COMMDLG.VBS 3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $ Sinalizadores = 0x392 (914) Parm1enc = 7c d1 15 Parm2enc = 00 Caminho = "C:" Comentário = "" Digite = 0 e exclui a seguinte chave: 4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies NoDriveAutorun modifica as seguintes chaves: 5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork DisablePwdCaching = 0 6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%" onde% SystemDir% é o nome do diretório do sistema Windows. O "1" faz com que o sistema execute o ajudante de vírus quando cada arquivo EXE é executado (veja abaixo). O "2" ativa um componente VBS que envia email afetado na inicialização do Windows. O "3" parece ser um carimbo de identificação de vírus. O "4" habilita o processamento automático do arquivo AUTORUN.INF. O "5" permite que um componente backdoor obtenha senhas do sistema (o código do vírus não contém uma rotina para isso, mas pode ser baixado e instalado, veja abaixo). O "6" é outro carimbo de identificação de vírus usado pelo componente de vírus do MS Word para localizar o diretório exato em que estão localizados outros componentes de vírus. Se o vírus não conseguir se instalar no diretório de sistema do Windows, ele descartará seus arquivos no diretório temporário do Windows e criará / excluirá / modificará exatamente as mesmas chaves, com a exceção de "3". Infecção, etc. O vírus então infecta até cinco arquivos EXE e até cinco arquivos SRC no diretório atual. O vírus usa as máscaras "GOAT * .EXE" e "GOAT * .SCR" para localizar os arquivos, então o vírus é de "pesquisa" e não pode infectar arquivos com nomes padrão. No entanto, esse "recurso" de vírus pode ser facilmente corrigido pelo autor do vírus, e o vírus infectará os arquivos PE EXE de qualquer nome. Apesar do fato de que esta versão de vírus infecta apenas arquivos GOAT , ele verifica um arquivo em busca de um nome de antivírus e ignora a infecção. O vírus detecta programas antivírus de acordo com os quatro primeiros caracteres do nome: FSAV PAND INOC TBSC NAVS NAVX NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM O vírus também não infecta os autoextratores WinZip. O vírus exclui os seguintes arquivos de dados do antivírus: CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC Este componente de vírus contém os textos: – [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX Tia mi aven Moridin vadin "O túmulo não é bar para o meu chamado" Execução do Ajudante de Vírus O ajudante de vírus é ativado em qualquer execução de arquivo EXE (causada pela chave de registro do sistema "1", veja acima). Como uma linha de comando, o auxiliar obtém o nome do arquivo EXE esperado para ser executado e a linha de comando. O auxiliar presta atenção ao nome do arquivo EXE e aos argumentos da linha de comando. Quando qualquer um dos clientes mIRC, PIRCH ou vIRC é executado, o vírus os afeta. Ele faz uma cópia em si no diretório atual com o nome CRACK.EXE e cria um arquivo de script ou arquivos correspondentes que enviam o arquivo CRACK.EXE infectado para um usuário. O arquivo ou entra no canal de IRC (no caso de um cliente vIRC), ou envia um texto para o canal com a palavra "crack" (mIRC, PIRCH). Arquivos de script criados pelo vírus: MIRC: SCRIPT.INI, SCRIPT.OLD PIRC: EVENTS.INI VIRC: DEFAULT.LIB No caso de um usuário tentar executar o REGEDIT.EXE ou um programa antivírus, o vírus simplesmente encerrará essa solicitação. A lista desses nomes de arquivos é a seguinte: REGE , AVP3 , AVPM , AVPC , NOD3 , AMON , SCAN , SPID , DRWE Quando um arquivo é executado correspondendo a um dos três nomes de "arquivo de vírus": CRAC , PACK , MMSY * ou um arquivo com o nome SETU , o vírus encerra o arquivo e exibe uma falsa mensagem de erro: Autoextrator WinZip Cabeçalho do WinZip Self-Extractor corrompido. Possível causa: erro de disco ou transferência de arquivos inválido Na instância em que a linha de comando contém uma referência a um arquivo .DOC, o vírus anexa seu arquivo PACKED.EXE ao final do arquivo. Essa adição será usada posteriormente para espalhar o vírus dos documentos do Word afetados. O ajudante de vírus também descarta mais dois arquivos para migrar para o ambiente MS Word: NORMAL.DOT para o diretório de templates do MS Word IMPMORI.DRV para o diretório de sistema do Windows O modelo NORMAL.DOT contém um "carregador" de vírus que obtém as macros de vírus completas do arquivo IMPMORI.DRV. Os ajudantes de vírus também desabilitam a proteção de macro-vírus no registro do sistema, bem como procuram por programas residentes na memória antivírus e os terminam: Monitor AVP Monitor antivírus do Amon Versão de avaliação do Norton AntiVirus Auto-Protect Norton AntiVirus Auto-Protect Páginas HTML também são afetadas pelo vírus. Na instância em que um arquivo .HTM é encontrado no diretório atual, o vírus se copia aqui com o nome SETUP.EXE e anexa um link "Download" ao arquivo HTM. Clicar neste link resulta em uma janela padrão "Download de arquivo". Dependendo do contador aleatório, o ajudante de vírus também define o rótulo de volume "W32Moridin" para a unidade atual. Infectando uma rede O recurso auxiliar de vírus não está concluído, pois também espalha o vírus pela rede local se houver unidades compartilhadas para acesso total. O ajudante de vírus os enumera e tenta afetá-los de duas maneiras. 1. O vírus se copia aqui com o nome NETX.EXE e cria o arquivo auto-executado AUTORUN.INF aqui com um comando que ativa uma cópia de vírus no arquivo NETX.EXE. 2. O vírus procura o diretório do Windows na unidade. Se houver um diretório com um nome semelhante ao "Windows", o vírus se copia aqui com o nome INIT.EXE e registra essa cópia no arquivo WIN.INI na seção de execução automática. Infectando máquinas remotas Além da infecção na intranet, o vírus também tenta infectar as máquinas remotas de uma outra maneira. O vírus procura ver se um dos aplicativos da Internet listados abaixo é executado: Monitor GetRight Microsoft Outlook Janela ICQMsgAPI Links da WWW PIRCH98 Janela de soquetes Nesse caso, o vírus obtém o endereço IP do host (a máquina à qual o computador infectado está conectado) e, em seguida, verifica a sub-rede do host (geralmente a sub-rede da classe C) quanto à presença de backdoor do NetBus. Se houver uma máquina infectada pelo NetBus, o vírus envia sua cópia aqui e força o NetBus a executá-la. Rotina de backdoor O ajudante de vírus também possui sua própria rotina Backdoor com apenas quatro comandos implementados: – abre e fecha a porta do CD – transfere e gera um arquivo – termina em si (rotina backdoor) – exibe uma mensagem, o título da caixa de mensagem contém o seguinte texto: [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX E-mail infectado O vírus usa dois sistemas de email para se espalhar: MS Outlook e Pegasus. O primeiro método é realizado no componente de vírus VBS e o segundo no programa de macro de vírus do MS Word. MS Outlook Para espalhar-se por mensagens de email, o arquivo de vírus COMMDLG.VBS se conecta ao MS Outlook, obtém todos os endereços do catálogo de endereços e envia sua cópia (o arquivo PACKED.EXE) aqui anexado à mensagem. A mensagem tem um Assunto, Corpo e Assinatura selecionados aleatoriamente: Assunto: "ALERTA DE VÍRUS!"* Body: "Há um worm VBS espalhando por e-mail, proteja-se! Não abra nenhum anexo chamado FREE-SEX.VBS " Assunto: "Utopia / Earth 2025 tutoriais" Body: "Olá a todos, confira este jogo! Www.games.esite.com. Alguns tutoriais estão anexados à mensagem " Assunto: "É assim que eu pareço :)" Corpo: "Aqui estão algumas fotos minhas, você gostou? :)" A assinatura é selecionada das seguintes variantes: Saudações, Atenciosamente, Tenha um bom dia, Ele é preenchido com o nome e o nome da organização do proprietário do computador. O vírus obtém esses dados do registro do sistema. O arquivo VBS do vírus é executado em cada reinicialização do Windows. Para evitar envios duplicados, o vírus cria a chave de registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx Moridin 1.0 e sai da rotina de propagação de email se essa chave já estiver presente no registro. Pégaso O componente macro no documento do MS Word infectado procura o cliente de correio Pegasus instalado no sistema. O vírus seleciona um endereço do banco de dados do Pegasus e envia um documento ativo aqui. A mensagem tem um dos seguintes textos: Veja isso! BAAAAAAAM! Você acabou de ser atingido por um anexo, esta é a guerra de apego! Bata em alguém, AGORA! Infectando o MS Word O vírus afeta o MS Word sendo executado a partir do arquivo NORMAL.DOT (veja acima). Um pequeno programa de macro aqui obtém a macro de vírus principal do arquivo IMPMORI.DRV no diretório de sistema do Windows e a transfere para NORMAL.DOT. A macro de vírus principal contém três rotinas: envio de uma cópia de vírus por e-mail usando o Pegasus (veja acima); infectar outros documentos do MS Word; extrair e gerar um componente PE EXE do documento. Documentos do MS Word são infectados quando eles são abertos pelo Word. O vírus simplesmente copia seu código aqui e gera ADVAPI33.EXE com o nome do arquivo de documento na linha de comando, causando o acréscimo do código de vírus EXE ao final do documento. Para extrair o código EXE do documento do Word, a macro de vírus abre o documento como um arquivo binário, vai até o final do arquivo, lê o componente EXE de vírus, salva-o em um arquivo de disco com o nome W32MORI.EXE no Windows diretório e executa este arquivo. Assim, o componente de vírus EXE ganha controle do documento do Word infectado.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.Multi.Moridin