Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Multi.Moridin

Třída Virus
Platfoma Multi
Popis

Technické údaje

Jedná se o multiplatformní virus infikující systémy Win32. Virus infikuje spustitelné soubory Win32, dokumenty MS Word a šíří se prostřednictvím e-mailu přes IRC kanály, stejně jako infikuje lokální síť. Tento virus má také schopnost Backdoor .

Virus má velikost přibližně 70 kB a obsahuje několik dalších komponent: Win32 EXE "pomocník" (doplňková aplikace), šablona aplikace Word, zdroj maker aplikace Word a několik skriptových programů: VBS, mIRC, PIRCH a vIRC . Rutiny virů EXE jsou napsány v Assembleru.

Virus lze nalézt v několika formách:

– infikovaný soubor PE EXE
– Pomocník EXE
– infikované dokumenty aplikace Word
– skript VBS
– IRC sctiprři

Během šíření prostřednictvím e-mailu prostřednictvím sítě a kanálů IRC červ jmenuje své kopie jako: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE a INIT.EXE.

PE EXE Virus Component – infikované soubory PE EXE

Nahrazení souborů PE EXE

Při infekci souboru PE EXE virus zvyšuje velikost poslední části souboru, šifruje se polymorfním rutinním způsobem a zapisuje se zde. Polymorfní kód má průměrnou složitost.

Chcete-li získat kontrolu nad spuštěním infikovaného souboru, virus infikuje vstupní kód souboru krátkým polomorfním kódem, který okamžitě předá kontrolu polymorfní dešifrovací smyčce při spuštění infikovaného souboru.

Infikované spuštění souboru

Při spuštění infikovaného souboru získává polymorfní kód viru kontrolu, dešifruje hlavní kód viru a zde přenáší kontrolu. Virus pak vytvoří čtyři soubory v adresáři systému Windows:

ADVAPI33.EXE (poznámka: "33" ne "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

první tři soubory obsahují stejný kód – pomocník 60K virus (viz níže) – který je soubor PE EXE a je spuštěn jako typická aplikace systému Windows. Tyto soubory používají jiné součásti virů k infikování dokumentů aplikace Word a šíření viru prostřednictvím kanálů IRC a e-mailu (viz níže).

PACKED.EXE a MMSYSTEM.BIN jsou potom infikovány virem stejným způsobem jako jiné infikované soubory EXE (viz výše). Výsledkem je, že velikost těchto souborů se zvýší až na 130 kB (60 kB pomocníka plus 70 kB kompletního virového kódu) a kód pomocníka je zde duplikován (pomocník je infikován virem, který má v něm vloženého pomocníka ).

Soubor COMMDLG.VBS obsahuje VBScript, který šíří virus na Internetu prostřednictvím e-mailových zpráv.

Klíče registru systému

Virus pak modifikuje klíče registru systému. Vytvoří následující klávesy:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Vlajky = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Cesta = "C:"
Poznámka = ""
Typ = 0

a odstraní následující klíč:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

upravuje následující tlačítka:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

kde% SystemDir% je název adresáře systému Windows.

Systém "1" způsobí, že systém spustí virusový pomocník při spuštění každého souboru EXE (viz níže). Funkce "2" aktivuje součást VBS, která odešle zasažený e-mail při spuštění systému Windows. Zdá se, že "3" je nějaká známka ID viru. "4" umožňuje automatické zpracování souboru AUTORUN.INF. "5" umožňuje zadní komponentě získat systémová hesla (virový kód neobsahuje rutinu, ale může být stažen a nainstalován, viz níže). "6" je další razítko ID viru, které používá komponenta Virus MS Word k nalezení přesného adresáře, kde jsou umístěny další součásti virů.

Pokud se virus nepodaří nainstalovat do adresáře systému Windows, přenese své soubory do dočasného adresáře systému Windows a vytvoří / odstraní / upraví přesně tytéž klíče s výjimkou "3".

Infekce atd.

Virus pak infikuje až pět EXE a až pět souborů SRC v aktuálním adresáři. Virus používá k vyhledání souborů masky "GOAT * .EXE" a "GOAT * .SCR", takže virus je "výzkumný" a nemůže infikovat soubory se standardními názvy. Avšak tento "virus" může být snadno odstraněn autorem viru a virus infikuje soubory PE EXE libovolného jména.

Navzdory skutečnosti, že tato verze infikuje pouze soubory GOAT *, zkontroluje soubor pro antivirový název a vynechá infekci. Virus detekuje antivirové programy podle prvních čtyř znaků jména:

FSAV PAND INOX TBSC NAVS NAVD NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM

Virus také neinfikuje samozavírače WinZip.

Virus odstraní následující antivirové datové soubory:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Tento komponent viru obsahuje texty:

– [W97-2K / Win32.Moridin 1.0] od společnosti Asmodeus iKX
Tia mi aven Moridin vadin
"Hrob není mým voláním"

Virus Helper Run

Pomocník pro viry je aktivován při každém spuštění souboru EXE (způsobeného systémovým klíčovým klícem "1", viz výše). Jako příkazový řádek získá pomocník název souboru EXE, který má být proveden, a příkazový řádek. Pomocník věnuje pozornost jak názvu souboru EXE, tak argumentům příkazového řádku.

Když je spuštěn některý z klientů mIRC, PIRCH nebo vIRC, virus je ovlivňuje. Vytvoří vlastní kopii v aktuálním adresáři se jménem CRACK.EXE a vytvoří odpovídající soubor skriptu nebo soubory, které posílají infikovaný soubor CRACK.EXE uživateli. Soubor buď vstupuje do IRC kanálu (v případě klienta vIRC), nebo posílá text kanálu se slovem "crack" (mIRC, PIRCH).

Soubory skriptu vytvořené virem:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

V případě, že se uživatel pokusí provést program REGEDIT.EXE nebo antivirový program, virus tuto žádost jednoduše ukončí. Seznam těchto názvů souborů je následující:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Když je soubor spuštěn odpovídající jednomu ze tří jmén: "CRAC *, PACK *, MMSY * nebo soubor s názvem SETU *, virus ukončí soubor a zobrazí falešnou chybovou zprávu:

WinZip Self-Extractor
WinZip Self-Extractor header poškozený.
Možná příčina: špatná chyba disku nebo přenosu souborů

V případě, že příkazový řádek obsahuje odkaz na soubor .DOC, virus připojuje svůj soubor PACKED.EXE na konec souboru. Toto přidání bude později použito k šíření viru z dokumentů aplikace Word.

Pomocník pro viry také přenese další dva soubory pro migraci do prostředí MS Word:

NORMAL.DOT do adresáře šablon MS Word
IMPMORI.DRV do adresáře systému Windows

Šablona NORMAL.DOT obsahuje virus "loader", který získává kompletní makra virů z souboru IMPMORI.DRV.

Pomocníci virů rovněž zakazují makrovírusovou ochranu v registru systému a vyhledávají rezidentní programy antivirové paměti a ukončují je:

AVP Monitor
Amon Antivirus Monitor
Zkušební verze aplikace Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect

Stránky HTML jsou také ovlivněny virem. V případě, že je v aktuálním adresáři nalezen soubor .HTM, virus se zde sama zkopíruje názvem SETUP.EXE a přiloží odkaz "Stáhnout" do souboru HTM. Klepnutím na toto spojení se zobrazí standardní okno "Stažení souboru".

V závislosti na náhodném čítači také pomocník pro viry nastaví na aktuální jednotku značku svazku "W32Moridin".

Zablokování sítě

Funkce virů pomocník není dokončena, protože také šíří virus přes místní síť, pokud jsou sdílené disky pro plný přístup. Virový pomocník je vyjmenovává a snaží se je ovlivnit dvěma způsoby.

1. Virus se zde zkopíruje pod názvem NETX.EXE a vytvoří soubor AUTORUN.INF s automatickým spuštěním s příkazem, který aktivuje v souboru NETX.EXE virální kopii.

2. Virus vyhledává adresář Windows na jednotce. Pokud existuje adresář s názvem "Windows", virus se zde sám zkopíruje pod názvem INIT.EXE a registruje, které zkopírují v souboru Win.ini v sekci automatického spuštění.

Infikování vzdálených počítačů

Kromě intranetové infekce se virus také pokouší infikovat vzdálené stroje ještě jednou. Virus vypadá, zda je spuštěna jedna z níže uvedených internetových aplikací:

GetRight Monitor
Microsoft Outlook
Okno ICQMsgAPI
WWW odkazy
PIRCH98
Okno Soketů

V takovém případě virus získá IP adresu hostitele (počítač, ke kterému je infikovaný počítač připojen) a poté prohledává hostitelskou podsíť (obvykle podsíť třídy C) pro přítomnost backdoor NetBus. Pokud je počítač infikován systémem NetBus, virus odešle jeho kopii a vynuti jej, aby jej spustil.

Zpětná rutina

Pomocník pro viry má také vlastní Backdoor rutinu s pouhými čtyřmi příkazy:

– otevírá a zavírá dveře CD
– stáhne a spouští soubor
– ukončí se (backdoor rutina)
– zobrazí zprávu, nadpis řádku obsahuje následující text:

[W97-2K / Win32.Moridin 1.0] společnosti Asmodeus iKX

Infikovaný e-mail

Virus používá dva e-mailové systémy: MS Outlook a Pegasus. První metoda je realizována v komponentě VBS viru a druhá v makro programu Virus MS Word.

MS Outlook

Chcete-li se šířit prostřednictvím e-mailových zpráv, soubor viru COMMDLG.VBS se připojí k aplikaci MS Outlook, získá všechny adresy z adresáře a odešle svou kopii (soubor PACKED.EXE), který je zde připojen ke zprávě. Zpráva má náhodně vybraný předmět, tělo a podpis:

Předmět: "Virus ALERT!"
Tělo: "K dispozici je červ, který se šíří přes e-mail, chrání se!
Neotevírejte žádnou přílohu nazvanou FREE-SEX.VBS "

Předmět: "Utopia / Earth 2025 tutorials"
Body: "Ahoj všichni, podívejte se na tuto hru! Www.games.esite.com.
Několik tutoriálů je připojeno ke zprávě "

Předmět: "Takhle vypadám :)"
Tělo: "Zde je pár obrázků od mě, líbí se vám to?"

Podpis je vybrán z následujících variant:

Pozdravy,
S pozdravem,
Hezký den,

Je dokončen v názvu a organizačním názvu vlastníka počítače. Virus získává tato data z registru systému.

Soubor virů VBS je spuštěn po každém restartu systému Windows. Chcete-li zabránit duplicitním odesílání, virus vytvoří klíč registru:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

a ukončí rutinu šíření e-mailů, pokud je tento klíč již v registru přítomen.

Pegasus

Makro komponenta v infikovaném dokumentu MS Word hledá poštovní klient Pegasus nainstalovaný v systému. Virus vybírá adresu z Pegasus databáze a posílá zde aktivní dokument. Zpráva obsahuje jeden z následujících textů:

Koukej na tohle!

BAAAAAAAM! Právě jste narazili na přílohu, to je příloha válka! Hit někoho, TERAZ!

Infikování MS Word

Virus ovlivňuje spuštění aplikace MS Word ze souboru NORMAL.DOT (viz výše). Program krátkého makra získává hlavní makro viru ze souboru IMPMORI.DRV v adresáři systému Windows a přenese jej do souboru NORMAL.DOT.

Hlavní makro viru obsahuje tři rutiny: odesílání virové kopie prostřednictvím e-mailu pomocí Pegasus (viz výše); infikování jiných dokumentů MS Word; extrahovat a tvořit součást PE EXE z dokumentu.

Dokumenty MS Word jsou infikovány při jejich otevření aplikací Word. Virus jednoduše zkopíruje svůj kód a spouští ADVAPI33.EXE s názvem souboru dokumentu v příkazovém řádku, což způsobuje připojení kódu viru EXE na konec dokumentu.

Chcete-li extrahovat kód EXE z dokumentu aplikace Word, virové makro otevírá dokument jako binární soubor, přejde na konec souboru, přečte komponentu viru EXE, uloží jej do souboru s názvem W32MORI.EXE do Windows adresář a spustí tento soubor. Komponenta EXE virus získá kontrolu nad infikovaným dokumentem aplikace Word.


Odkaz na originál