Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Multi.Cocaine

Třída Virus
Platfoma Multi
Popis

Technické údaje

Jedná se o parazitní soubory Windows PE a MS Word normální šablony infektor s možností šíření e-mailu, asi 22 kilobajtů délky. Virus má tři instance: v systémech Windows PE EXE, v šabloně NORMAL a jako připojený soubor v e-mailových zprávách.

Virusový kód v infikovaných souborech PE EXE je jeho hlavní instancí. Když je spuštěn, virus vyhledá soubory PE EXE v aktuálních adresářích a adresářích Windows a infikuje je. Virus také infikuje NORMAL.DOT do adresáře MS Word ze své instance EX EXE, stejně jako odesílá infikované e-maily. Instance viru v šabloně NORMAL na každém uzavření dokumentu klesne a spustí infikovaný soubor PEE EXE a nemůže infikovat jiné dokumenty a šablony. Kód viru v e-mailu se zobrazí jako připojený soubor, který je infikován spustitelným systémem Windows EX EXE s náhodným názvem nebo infikovanou šablonou NORMAL.

Virus je rezidentní paměť. To znamená, že kopie virů může zůstat v paměti delší dobu, dokud nedojde k ukončení infikované aplikace. V případě, že jsou infikovány pouze aplikace s krátkou životností, virusový kód se v systémové paměti dlouho neobjevuje. V případě, že je infikována aplikace s trvalým používáním, je virus aktivní po dlouhou dobu, zavírá funkce systému Windows, infikuje soubory PE EXE, které přistupují a odesílají e-mailové zprávy.

Virus je polymorfní v PE souborech stejně jako v šabloně Word NORMAL. Virus má ve svém kódu EXE dva polymorfní motory: první z nich generuje polymorfní dešifrovací smyčku v infikovaných souborech PE EXE, druhá z nich také makrografický program viru v infikovaném polymorfním NORMAL.DOT.

Virus má rutinu užitečného zatížení, která je spuštěna při spuštění infikovaného souboru ve čtyřech měsících, kdy byla infikována. Tato rutina zobrazuje zprávy se záhlaví "W32 / Wm.Cocaine" a text, který je náhodně vybrán ze sedmi variant:

Váš život hoří rychleji, poslouchejte svého pána …Chopte snídani na zrcadle …Žíly, které čerpají ze strachu, sání nejtmavší …Chuť mi uvidíš, víc je všechno, co potřebuješ …Budu obsadit, pomůžu vám umřít …Běžím tě skrze tebe, teď tě také ovládnu …Mistr lukostřelců, vytáhl jsem vaše struny …

Virus věnuje pozornost antivirovým programům a pokouší se je zakázat. Pokaždé, když je infikovaný soubor spuštěn a virus nainstaluje svou kopii rezidentního procesu, hledá antivirové datové soubory v aktuálním adresáři a vymaže je. Názvy těchto souborů vypadají takto: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN a další antivirové údaje soubory). Virus také vyhledá a ukončí starou verzi skeneru pro přístup na server AVP Monitor.

Známá verze virů obsahuje chyby a nemůže se šířit z instance maker aplikace Word do spustitelného systému Windows. Má také chybu v rutině infekce PE EXE a poškozuje některé spustitelné soubory WinNT.

Virus obsahuje text o autorských právech:

(c) Vecna

Některé rutiny virem (zejména makro) se vztahují k multiplatformnímu viru "Fabi" a některé infikované soubory mohou být detekovány jménem tohoto viru.

Technické údaje

Virus má poměrně velkou velikost pro program napsaný v Assembleru – asi 22 kB a má řadu rutin, které jsou z technického hlediska velmi zajímavé.

Infikované spuštění EXE

Když infikovaný soubor převezme kontrolu, provádějí se polymorfní dešifrovací smyčky. Dešifrují kód vrstev vrstvy po vrstvě (virus je zašifrován několika smyčkami – od dvou do pěti) a předává kontrolu rutině instalace virů. Je třeba poznamenat, že několik bloků virů zůstává stále šifrováno. Virus dešifruje a přistupuje k němu v případě potřeby a pak šifruje zpět. Tyto bloky jsou data infekce MS Word a rutinní stejně jako PE EXE polymorfní motor.

Rutina instalace virů vyhledá potřebné adresy funkcí API systému Windows, které jsou později používány virem. Seznam těchto funkcí je poměrně dlouhý, což je způsobeno seznamem věcí, které virus rozšiřuje. Seznam funkcí, které hledá virus, je níže:

Exportováno podle seznamu funkcí———– ————–KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA                VytvořitFileA WinExec CloseHandle LoadLibraryA FreeLibrary                VytvořitFileMappingA MapViewOfFile UnmapViewOfFile                FindFirstFileA FindNextFileA FindClose SetEndOfFile                VirtualAlloc VirtualFree GetSystemTime                GetWindowsDirectoryA GetSystemDirectoryA                GetCurrentDirectoryA SetFileAttributesA SetFileTime                ExitProcess GetCurrentProcess WriteProcessMemory WriteFile                DeleteFileA Spánek CreateThread GetFileSize SetFilePointerUSER32.DLL: MessageBoxA FindWindowA PostMessageAADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA                RegQueryValueExA RegCloseKeyMAPI32.DLL: MAPISendMail

Virus získává adresy těchto funkcí standardním virem Windows trik: najde obraz v KERNEL32.DLL v paměti systému Windows, prohledá svou tabulku Export a dostane adresy dvou funkcí: GetModuleHandle a GetProcAddress. Pomocí těchto dvou funkcí je virus schopen snadno nalézt všechny adresy dalších potřebných funkcí. Nejzajímavějším rysem této rutiny je skutečnost, že se jedná o první virus, který zpracovává nejen adresy Win95 / 98 a WinNT při hledání obrazu KERNEL32.DLL, ale také věnuje pozornost adresám Win2000.

Virus pak vyhledá a infikuje aplikaci MS Word, pak vyhledá soubory PE EXE a také je infikuje a potom zavede soubor systémových událostí (soubory a e-maily), které se používají k vyhledání a infikování více souborů, stejně jako k šíření virové kopie internetu v připojených e-mailech.

Infikování MS Word

První rutina infekce, která je aktivována virem, je MS Word ovlivňující rutinu, pokud je nainstalována v systému. Nejdříve zde virus kontroluje přítomnost souboru C: ANCEV.SYS.

Soubor C: ANCEV.SYS ("ANCEV" = "VECNA" napsaný zpět) má zvláštní účel. Tento soubor je vytvořen po dokončení rutiny infekce šablony MS Word. Takže přítomnost tohoto souboru znamená, že byl umístěn MS Word a šablona NORMAL.DOT byla nakažena. V tomto případě virus při odesílání e-mailů odešle šablonu NORMAL.DOT, ale ne infikovaný dropper EXE.

Takže virus kontroluje tento soubor na samém vrcholu rutiny infekce MS Word. Pokud takový virus neexistuje, virus pokračuje v infekci. Pokud tento soubor najde, náhodně v jednom případě po deseti případech infekce virem a v devíti případech deset infekčních rutin. To znamená, že v jednom případě deset MS Word NORMAL.DOT bude opětovně infikován.

Virus pak zakáže ochranu aplikace Word VirusWarning úpravou klíčů registru systému, kde aplikace Word ukládá nastavení:

SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection

Virus pak získává adresář Word templates také čtením registru systému:

SOFTWAREMicrosoftOffice8.0CommonFileNewLocalTemplates

a odstraní šablony NORMAL.DOT tam a poté vytvoří nový soubor šablony NORMAL.DOT – infikovaný. Infikovaný NORMAL.DOT obsahuje malé makro uvnitř. Toto makro má automatické jméno "AutoExec", bude automaticky spuštěno při příštím spuštění aplikace Word a importuje hlavní makro viru z souboru C: COCAINE.SYS.

Soubor C: COCAINE.SYS je vytvořen virem právě po přepsání šablony NORMAL.DOT. Tento soubor SYS je textový soubor, který obsahuje zdrojový kód programu VBA. Tento zdroj je extrahován virem z jeho kódu, smíchaný s nevyžádanými (polymorfními) pokyny VBA a připojený infikovaným PE EXE kapátkem převedeným na řetězce ASCII.

Takže rutina infekce MS Word dělá svou práci ve dvou krocích. V první řadě virus nahrazuje původní NORMAL.DOT za nový, který obsahuje makro program "AutoExec" (zavaděč), který importuje kompletní kód viru z souboru C: COCAINE.SYS a ukončí přenos portového kódu z souboru PE EXE do šablony MS Word.

Od aplikace Word do EXE

Chcete-li spustit soubor EXE z jeho šablony instance aplikace Word, použije standardní trik makrovírusů. Vytváří dva soubory: první je soubor C: COCAINE.SRC s infikovaným obrazem souboru EXE PEE převedeným na formu ASCII a druhý soubor je DOS dávka s náhodným názvem. Tento dávkový soubor obsahuje sadu instrukcí, které spouštějí nástroj DOS DEBUG, který převede výpis ASCII zpět na binární formulář PE EXE a provede jej.

Takže virus přeskočí na Windows z infikované šablony Word.

Nahrazení souborů PE EXE

Pokud je ovlivněn program MS Word, virus přejde do rutiny infekce souborů EXE. Virus vyhledává soubory PE EXE v současných adresářích a adresářích Windows a infikuje je. Jediné soubory jsou infikovány, které mají přípony souborů EXE nebo .SCR.

Virus pak vyhledává nainstalovaný prohlížeč a mailer a infikuje je také. Virus je vyhledává pomocí klíčů registru systému v úložišti HKEY_LOCAL_MACHINE:

SOFTWAREClasseshtmlfileshellopencommandSOFTWAREClassesmailtoshellopencommand

Virus vyžaduje, aby tyto soubory byly infikovány, aby aktivovaly rutiny infekce Internetu. Když jsou tyto aplikace s internetovým připojením infikovány, kopie virů je aktivní v paměti delší dobu přesně v okamžiku, kdy je uživatel připojen k Internetu. To je pro virus nezbytné k realizaci jeho schopnosti šíření Internetu.

PE EXE Mechanismus infekce

Virus kontroluje několik podmínek před infikováním souboru. První: délka souboru nesmí být dělitelná 101 (je to ochrana proti virům, aby se zabránilo vícenásobné infekci, již infikované soubory PE EXE mají takovou délku). 2. Když virus vyhledá soubory EXE v aktuálním adresáři a adresáři Windows je infikuje, název souboru nemůže obsahovat písmeno nebo číslice "V", zde se virus vyhýbá nejoblíbenějším antivirovým skenerům a infekci "kozí soubory".

Pokud má první část dostatečně velkou velikost (více než 2304 bytů), virus tam píše několik bloků nevyžádaného kódu, které předává řídicí jednotku bloku k hlavním dešifrovacím cyklům viru. Do souborů je zapsáno osm bloků, když je virus infikuje:

+ ———— +| |Záhlaví PE | ————— +| ———— | || + —– + <- + | || | Junk2 | || || + —– + – + || Vstupní bod || + —– + ||| <————— +|| Junk1 | |||| + —– + —- + || | || + —– + <- + ||| Junk3 | || + —– + —- + || V || . . . || + —– + || —- —- | Junk8 |||| + —– + || V || ———— |Kód viru| |+ ———— +

V tomto případě virus neupravuje adresu vstupního bodu programu, ale potřebuje obnovit všechny přepsané bloky hostitelského souboru před návratovou kontrolou do původního postupu.

Pokud je první část krátká, ovládání přejde přímo na kód viru. V takovém případě modifikuje virus vstupní adresu programu, aby získala kontrolu při provádění infikovaných souborů.

Samotný kód viru je zašifrován několika polymorfními smyčky (od dvou do pěti). Polymorfní motor ve viru je poměrně silný a produkuje asi 2kb polymorfních smyček.

Virus rovněž opravuje sekci Import, aby se dostaly funkce GetProcAddress, GetModuleHandle, CreateProcessA, WinExec a MAPISendMail při spuštění spustitelného souboru infekce.

Poté, co virus vloží svůj šifrovaný kód na konec poslední části souboru a zvětší velikost sekce záplatováním hlavičky PE.

Přijetí událostí

Když jsou dokončeny rutiny přímých infekcí aplikace Word a PE EXE, virus zavírá několik funkcí systému Windows a zůstává v paměti systému Windows jako součást hostitelského programu. Virus zavede dvě funkce pro přístup k souborům WinExec a CreateProcessA, pokud jsou importovány hostitelským programem z KERNEL32.DLL. Když tyto funkce získají kontrolu (program je spuštěn), virus získá název souboru programu, dostane svůj adresář, vyhledává a infikuje soubory PE EXE v tomto adresáři.

Odesílání e-mailů

Kód rezidentního kódu virem také spouští podproces infekce pošty, háčky MAPISendMail, které jsou exportovány z MAPI32.DLL, "connect" a "recv" z WSOCK32.DLL a GetProcAddress z KERNEL32.DLL.

První virus je virus používán k odeslání jeho kopie na internet. Když virus zachycuje tuto událost, vyhledá připojené údaje ve zprávě. Pokud není připojen žádný virus, virus se připojí k infikovanému souboru NORMAL.DOT nebo k infikovanému souboru PE EXE (ten je vytvořen na disku v souboru C: ENIACOC.SYS).

Háčky "GetProcAddress", "connect" a "recv" jsou používány virem k realizaci druhé metody zasílání infikovaných e-mailů. Když přijde zpráva, virus prohledá záhlaví pro pole "mailto:", dostane adresu odtud a uloží ji do vlastní databáze.

Infekční podproces, když přebírá kontrolu, hledá e-mailovou adresu chycenou pro připojení "connect" a "recv", vypočítá CRC a srovnává s databází "již infikovaných adres", která je uložena v souboru BRSCBC.DAT v adresáři systému Windows. Pokud tato adresa ještě nebyla odeslána, virus ji přidá do databáze BRSCBC.DAT, vytvoří zprávu s šablonou NORMAL nebo infikovaným souborem PE EXE a odešle ji pomocí funkce MAPISendMail. Pole předmětu pro zprávu je náhodně vybráno z variant:

Kewl stránka!Zlepšení vaší stránkyVaše stránka r0x0r!Musíte to vidět …Tajné věci!

Pomocí databáze BRSCBC.DAT se virus vyhýbá duplicitním odesílání, ale na každém infikovaném programu spusťte virus v závislosti na jeho náhodném čítači odstraní tento soubor a vymaže databázi "do not send".

"GetProcAddress", který je také závislý na kopírování virů TSR, slouží pouze k zachycení funkcí "connect" a "recv" WSOCK32.DLL, pokud aplikace tyto standardy neimportuje "ve výchozím nastavení", ale v případě potřeby je aktivuje. Chcete-li to provést, háček viru "GetProcAddress" zachycuje přístup k adresám funkcí "connect" a "recv" WSOCK32.DLL. Pokud se aplikace pokusí získat adresy těchto rutin pro použití připojení k Internetu, vrací viry adresy svých vlastních "connect" a "recv" hookerů a tím zachycuje připojení k Internetu.


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu