Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o multiplatformní virus infikující spustitelné soubory systému Windows32 (PE EXE) a dokumenty MS Word a šablony. Vzhledem k tomu, že každý víceprawový virus obsahuje několik částí (součásti), každá z nich pracuje ve svém prostředí: jako aplikace Win32 v systému Windows nebo jako makro program v aplikaci MS Word. Když se některá ze dvou součástí viru spustí ve svém prostředí, infikuje nejen objekty v tomto prostředí, ale také rozšiřuje kód viru na jiný: od souboru Windows EXE do dokumentů aplikace Word a z dokumentu Word do souborů Windows EXE.

Virus neobsahuje žádné zničení a nevykazuje se v žádném případě. Infikované soubory EXE obsahují text:

(c) VecnaParecia inofensiva mas te dominou …

Inferující EXE -> EXE

Při spuštění infikovaného souboru EXE dochází ke kontrole součásti virů EXE. Zkontroluje typ nainstalovaného operačního systému a je-li to systém Windows NT, vrátí virus zpět do hostitelského programu a nevykonává žádnou jinou akci. Virus běží rutinní infekce pouze v případě, že je spuštěn v systému Windows95 / 98. Tato rutina vyhledává a infikuje všechny spustitelné soubory Win32 v aktuálním adresáři i v adresářích WINDOWS a WINDOWSYSTEM. Během infikování viru zapíše jeho kód na konec poslední části, zvyšuje jeho velikost a upravuje potřebná pole záhlaví PE.

Z důvodu chyby virus poškodí soubory EXE v případě, že velikost poslední části je větší než 64 kB – virus zapíše kód do prostředního souboru a poškozený program zůstane nepoužitelný a již nepracuje.

Ink. Makro -> makro, makro -> EXE

V infikovaných dokumentech a šablonách obsahuje virus jeden makro AutoClose. Instaluje se do globální makro oblasti aplikace Word při otevírání infikovaného dokumentu a infikuje další dokumenty, které jsou poté uzavřeny. Chcete-li zkopírovat kód z jednoho dokumentu / šablony na jiný, virus používá pokyny pro úpravy kódu makra.

Chcete-li spustit infikovaný soubor systému Windows EXE, použije virus standardním způsobem. Binární data souboru EXE jsou ukládána v makrech virů v textovém bodě – binární data EXE jsou převedena na hexadecimální výpis ASCII. Virus uloží tato data na disk, vytvoří dočasný pomocník DOS BAT a pomocí tohoto nástroje pomocníka a DOS DEBUG převede hexadecimální výpis zpět na binární formát EXE a provede jej. Komponenta EXE viru přebírá kontrolu, spouští a infikuje soubory EXE na pevném disku, jak je popsáno výše.

Známé verze viru obsahuje chybu a nemůže vytvořit soubory EXE z komponenty makra viru. Výsledkem je, že soubory systému Windows EXE zůstávají neinfikovány.

Inferování EXE -> Makro

Rutina, která zachycuje součást maker do aplikace Word z infikovaných souborů EXE, je aktivována těsně po dokončení procesu vyhledávání a infikování souborů EXE. Tato rutina je složitější než ostatní popsané výše a potřebuje více dočasných souborů k přenosu virového kódu z EXE do aplikace Word. Virus vytvoří zde tři hlavní soubory:

FABI.SYS – "fiktivní" PE EXE soubor, který dostane infekci součást EXE viruFABI.SRC – zdrojový kód makra viru a binární data FABI.SYSpřevedeny na hexadecimální řetězce ASCIINORMAL.DOT – Šablona aplikace Word s malým makrem, který doplní virusinstalace: importuje hlavní kód viru z FABI.SRC doNORMAL.DOT

Chcete-li začít šíření z EXE do aplikace Word, vytvoří virus krátký soubor PEE EXE C: FABI.SYS a infikuje jej. Virus pak vytvoří soubor C: FABI.SYS a zapíše tam svůj zdrojový kód makro programu AutoClose. Pak přiloží k tomuto souboru data souboru C: FABI.SYS převedených na hexadecimální ASCII řádky. K dokončení tohoto kroku virus vytvoří speciálně připravený soubor NORMAL.DOT. Virus vyhledává vhodné místo pro stažení tohoto souboru do adresářů:

C: ARQUIV ~ 1 / MICROS ~? / MODELOSC: ARCHIV ~ 1 / MICROS ~? / MODELOSC: PROGRA ~ 1 / MICROS ~ / TEMPLA ~ 1

kde '?' je počítáno od 1 do 9. Soubor NORMAL.DOT, který je vytvořen v prvním adresáři nalezen obsahuje krátké makro AutoExec, který je aktivován při spuštění MS Word. Toto makro právě importuje zdrojový kód makra viru z souboru C: FABI.SRC a dokončí proceduru instalace virů: NORMAL.DOT je nyní infikován úplným kódem viru.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Virus
Platfoma	Multi
Popis	Technické údaje Jedná se o multiplatformní virus infikující spustitelné soubory systému Windows32 (PE EXE) a dokumenty MS Word a šablony. Vzhledem k tomu, že každý víceprawový virus obsahuje několik částí (součásti), každá z nich pracuje ve svém prostředí: jako aplikace Win32 v systému Windows nebo jako makro program v aplikaci MS Word. Když se některá ze dvou součástí viru spustí ve svém prostředí, infikuje nejen objekty v tomto prostředí, ale také rozšiřuje kód viru na jiný: od souboru Windows EXE do dokumentů aplikace Word a z dokumentu Word do souborů Windows EXE. Virus neobsahuje žádné zničení a nevykazuje se v žádném případě. Infikované soubory EXE obsahují text: (c) VecnaParecia inofensiva mas te dominou … Inferující EXE -> EXE Při spuštění infikovaného souboru EXE dochází ke kontrole součásti virů EXE. Zkontroluje typ nainstalovaného operačního systému a je-li to systém Windows NT, vrátí virus zpět do hostitelského programu a nevykonává žádnou jinou akci. Virus běží rutinní infekce pouze v případě, že je spuštěn v systému Windows95 / 98. Tato rutina vyhledává a infikuje všechny spustitelné soubory Win32 v aktuálním adresáři i v adresářích WINDOWS a WINDOWSYSTEM. Během infikování viru zapíše jeho kód na konec poslední části, zvyšuje jeho velikost a upravuje potřebná pole záhlaví PE. Z důvodu chyby virus poškodí soubory EXE v případě, že velikost poslední části je větší než 64 kB – virus zapíše kód do prostředního souboru a poškozený program zůstane nepoužitelný a již nepracuje. Ink. Makro -> makro, makro -> EXE V infikovaných dokumentech a šablonách obsahuje virus jeden makro AutoClose. Instaluje se do globální makro oblasti aplikace Word při otevírání infikovaného dokumentu a infikuje další dokumenty, které jsou poté uzavřeny. Chcete-li zkopírovat kód z jednoho dokumentu / šablony na jiný, virus používá pokyny pro úpravy kódu makra. Chcete-li spustit infikovaný soubor systému Windows EXE, použije virus standardním způsobem. Binární data souboru EXE jsou ukládána v makrech virů v textovém bodě – binární data EXE jsou převedena na hexadecimální výpis ASCII. Virus uloží tato data na disk, vytvoří dočasný pomocník DOS BAT a pomocí tohoto nástroje pomocníka a DOS DEBUG převede hexadecimální výpis zpět na binární formát EXE a provede jej. Komponenta EXE viru přebírá kontrolu, spouští a infikuje soubory EXE na pevném disku, jak je popsáno výše. Známé verze viru obsahuje chybu a nemůže vytvořit soubory EXE z komponenty makra viru. Výsledkem je, že soubory systému Windows EXE zůstávají neinfikovány. Inferování EXE -> Makro Rutina, která zachycuje součást maker do aplikace Word z infikovaných souborů EXE, je aktivována těsně po dokončení procesu vyhledávání a infikování souborů EXE. Tato rutina je složitější než ostatní popsané výše a potřebuje více dočasných souborů k přenosu virového kódu z EXE do aplikace Word. Virus vytvoří zde tři hlavní soubory: FABI.SYS – "fiktivní" PE EXE soubor, který dostane infekci součást EXE viruFABI.SRC – zdrojový kód makra viru a binární data FABI.SYSpřevedeny na hexadecimální řetězce ASCIINORMAL.DOT – Šablona aplikace Word s malým makrem, který doplní virusinstalace: importuje hlavní kód viru z FABI.SRC doNORMAL.DOT Chcete-li začít šíření z EXE do aplikace Word, vytvoří virus krátký soubor PEE EXE C: FABI.SYS a infikuje jej. Virus pak vytvoří soubor C: FABI.SYS a zapíše tam svůj zdrojový kód makro programu AutoClose. Pak přiloží k tomuto souboru data souboru C: FABI.SYS převedených na hexadecimální ASCII řádky. K dokončení tohoto kroku virus vytvoří speciálně připravený soubor NORMAL.DOT. Virus vyhledává vhodné místo pro stažení tohoto souboru do adresářů: C: ARQUIV ~ 1 / MICROS ~? / MODELOSC: ARCHIV ~ 1 / MICROS ~? / MODELOSC: PROGRA ~ 1 / MICROS ~ / TEMPLA ~ 1 kde '?' je počítáno od 1 do 9. Soubor NORMAL.DOT, který je vytvořen v prvním adresáři nalezen obsahuje krátké makro AutoExec, který je aktivován při spuštění MS Word. Toto makro právě importuje zdrojový kód makra viru z souboru C: FABI.SRC a dokončí proceduru instalace virů: NORMAL.DOT je nyní infikován úplným kódem viru.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Virus.Multi.Fabi

Technické údaje

Inferující EXE -> EXE

Ink. Makro -> makro, makro -> EXE

Inferování EXE -> Makro