Virus.MSOffice.Shiver

Technické údaje

Tento virus makro infikuje dvě aplikace Office97: dokumenty aplikace Word a Excel listy. Chcete-li být kompatibilní s různými aplikacemi Office97, virus používá kompatibilitu VisualBasic a používá stejný kód v aplikaci Word i Excel.

Virus infikuje systém, dokumenty a listy při otevření souborů (automatické makro AutoOpen v aplikaci Word a Auto_Open v aplikaci Excel). Během infikování viru používá funkce export / import Office97 pomocí souboru C: SHIVER.SYS. Píše (exportuje) svůj kód tam a poté čte (importuje) do objektu, který je infikován.

V obou programech Word a Excel se virus replikuje pomocí standardních triků. Během infikování souborů aplikace Word zkopíruje kód do oblasti dokumentů nebo globálních maker (NORMAL.DOT). V aplikaci Excel háček virů aktivuje proces archů a nastavuje makra infekce ShiverTime jako psovoda. Virus také uloží infikovaný soubor PERSONAL.XLS do spouštěcího adresáře aplikace Excel a v důsledku toho infikuje oblast systému Excel.

Jeden opouštějící program Word (AutoExit) se virus pokouší šířit svůj kód z aplikace Word do aplikace Excel. Virus používá funkce DDE: spouští program Excel v minimalizovaných oknech a předá tam data a příkazy potřebné k vytvoření infikovaného souboru PERSONAL.XLS v adresáři spouštění aplikace Excel. Virus infikuje aplikace Word z aplikace Excel podobným způsobem: spouští minimalizované Word, otevře editor jazyka a čte kód z souboru C: SHIVER.SYS.

Virus nevymaže po infekci soubor C: SHIVER.SYS a použije jej k opětovnému napadání aplikace Word, pokud byl v dokumentech a NORMAL.DOT odstraněn hlavní virusový kód (dezinfikován). Chcete-li, že virus v každé spouštěcí aplikaci Word vyhledá soubor WORD8.DOT v adresáři spouštěcího programu Word. Pokud takový soubor neexistuje, vytvoří virus a zapíše tam makro FileSaveAs. Toto makro obsahuje jen několik příkazů, které importují kód viru z C: SHIVER.SYS do dokumentů, které jsou uloženy s novým názvem. V důsledku toho virus zůstává aktivní, pokud jsou všechny dokumenty a NORMAL.DOT dezinfikovány. Virus používá stejný způsob exportu a importu k vytvoření kapky WORD8.DOT, jako vyrovnávací paměť zdrojového kódu je použit soubor C: SENTRY.SYS.

K detekci její přítomnosti v systému virus používá Registry systému a zapisuje jeho ID hodnoty do klíče "HKEY_CURRENT_USERSoftwareVB a VBA Program SettingsOffice8.0". Existují dvě hodnoty, které označují přítomnost / nepřítomnost viru v systému:

Shiver [DDE] = ALT-F11

Shiver [DDE] = NoNos (

Virus Internals

AutoExec – automatická funkce aplikace Word, obsahuje rutinu reinfekce aplikace Word

AutoOpen – automatická funkce aplikace Word obsahuje rutinní rutinní aplikace Word Docs

WordStealth – přidává tajné makra ToolsMacro, FileTemplates, ViewVBCode

do globálních maker slov (NORMAL.DOT)

AutoExit – automatická funkce aplikace Word infikuje aplikaci Excel

FindExcel – Rutina vyhledávání v programu Excel

PersonalFun – používá se při infekci aplikace Excel

CheckMarker – "Jste tady?" kontroluje registr

MakeMarker – zapisuje ID viru do registru

PXL_Done – používá se při infekci aplikace Excel

Automatická funkce Auto_Open – Excel, háčky rutiny aktivace listů

ShiverTime – listy aktivace hooker a infektor

wdTrigger – rutina spouštěče slov

xlTrigger – rutina programu Excel spouštění

Auto_Close – automatická funkce aplikace Excel, šíří virus do aplikace Word

zpoždění – použito v aplikaci Word infekce

wdReEvalInfection – vyhledává infikované PERSONAL.XLS v spouštěcím souboru aplikace Excel

xlReEvalInfection – vyhledává infikované WORD8.DOT ve spouštěcím programu Word

DDE_Info – makro "do-nothing", obsahuje "copyright":

Shiver [DDE] pomocí ALT-F11 s pomocí ALT-F4

Jedná se o první virus produkovaný The Alternative Virus Mafia (AVM)

ALT-F4 – "Narodil jsem se za umírání"

ALT-F11 – "Akce bez myšlenek"

Spouštěcí rutiny

V závislosti na systémovém náhodném čítači způsobuje virus následující následky:

• v aplikaci Excel vloží do náhodně vybrané buňky komentáře:

  
  
  Shiver [DDE] podle ALT-F11
  
  

• v aplikaci Word vytvoří soubor C: SISTER.DLL, zapíše text tam a spustí WRITE a zobrazí:

  
  
  Hej člověk, jsem stejně jako vaše sestra
  
  Hej člověk, doufám, že je to cool
  
  Hej člověk, ztratil jsem svou mysl
  
  Každého jediného času najdu svou sestru
  
  Jsou u bazénu
  
  Hej člověk, chci vidět její nahá
  
  Hej, já jsem vždy v její místnosti
  
  Všichni, když tam nikdo není
  
  Jdeme přes její spodní prádlo
  
  Hej člověk, musím ji brzy vidět
  
  Hej člověk, nikdy ji nezabiju
  
  Ale Hej Man, jak jí mohu odolat
  
  Den, který jí dává svatební skupinu
  
  Budete mým nejlepším člověkem?
  
  Hej člověk, jsem stejně jako vaše sestra
  
  Já jsem jako vaše sestra
  
  Já jsem jako vaše sestra
  
  Já se mi líbí
  
  

• v aplikaci Word přejmenuje položky nabídky:

  
  
  Nástroje / makro = "Shiver [DDE] podle ALT-F11"
  
  Soubor / Verze … = "Cum Stained Sheets …"
  
  Upravit / Vložit zvláštní … = "Hej Man I Did Your Momma …"
  
  Vložit / Přerušit … = "Chcete udělat nějaký MDMA?"
  
  Nápověda / O aplikaci Microsoft Word = "Mír, láska a drogy"
  
  Soubor / Vlastnosti = "Zemře šťastný, jenom zemřete"
  
  Upravit / Jít na … = "Heywood Jablowmi"
  
  Nástroje / Počet slov … = "Počítání těla"
  
  Formát / Font … = "Kunt"
  
  Soubor / Zavřít = "Bez oblečení"
  
  Okno / Split = "Blow Me"
  
  Vložit / Obrázek = "Kruzné porno GIF"
  
  Soubor / Tisk … = "My Balls Itch"
  
  Formát / Odrážky a číslování … = "Pilulky a jehly"
  
  Tabulka / Tabulka vložení … = "Vložení a sonda"
  
  Nástroje / Vlastní … = "Sodomize …"
  
  Nástroje / Pravopis a gramatika … = "Pravopis a vaše babička …"
  
  Zobrazit / Toolbars = "Gaybars"
  
  Zobrazit / hlavní dokument = "Masturbace"