DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSOffice.Shiver

Kategorie Virus
Plattform MSOffice
Beschreibung

Technische Details

Dieser Makrovirus infiziert zwei Office97-Anwendungen: Word-Dokumente und Excel-Tabellen. Um mit verschiedenen Office97-Anwendungen kompatibel zu sein, verwendet der Virus VisualBasic-Kompatibilität und verwendet den gleichen Code in Word und Excel.

Der Virus infiziert das System, Dokumente und Blätter beim Öffnen von Dateien (Auto-Makros AutoOpen in Word und Auto_Open in Excel). Beim Infizieren des Virus werden Office97-Funktionen über die Datei C: SHIVER.SYS exportiert / importiert. Es schreibt (exportiert) seinen Code dorthin und liest (importiert) dann in ein Objekt, das infiziert wird.

Sowohl unter Word als auch unter Excel repliziert sich der Virus mit Standardtricks. Beim Infizieren von Word-Dateien kopiert der Virus seinen Code in den Dokument- oder globalen Makrobereich (NORMAL.DOT). Unter Excel haken die Blätter den Aktivierungsprozess und setzen die Infektionsmakros ShiverTime als Handler. Der Virus speichert auch die infizierte PERSONAL.XLS-Datei im Excel-Startverzeichnis und infiziert dadurch den System-Excel-Bereich.

Beim Verlassen von Word (AutoExit) versucht der Virus seinen Code von Word nach Excel zu verteilen. Der Virus verwendet die DDE-Funktionen: Er führt Excel in minimierten Fenstern aus und gibt dort Daten und Befehle weiter, die zum Erstellen der infizierten PERSONAL.XLS-Datei im Excel-Startverzeichnis erforderlich sind. Der Virus infiziert Word von Excel auf ähnliche Weise: Er führt minimiertes Word aus, öffnet Visual Basic Editor und liest seinen Code aus der Datei C: SHIVER.SYS.

Der Virus löscht seine C: SHIVER.SYS-Datei nach der Infektion nicht und verwendet sie, um Word erneut zu infizieren, wenn der Hauptviruscode in Dokumenten und NORMAL.DOT gelöscht (desinfiziert) wurde. Dazu sucht der Virus bei jedem Start von Word im Word-Startverzeichnis nach der WORD8.DOT-Datei. Wenn es keine solche Datei gibt, erstellt der Virus sie und schreibt einen kurzen FileSaveAs-Makro dorthin. Dieses Makro enthält nur einige Befehle, die den Viruscode aus der Datei C: SHIVER.SYS in Dokumente importieren, die unter einem neuen Namen gespeichert werden. Dadurch bleibt der Virus immer aktiv, wenn alle Dokumente und NORMAL.DOT desinfiziert sind. Der Virus verwendet den gleichen Export / Import-Weg, um den WORD8.DOT-Dropper zu erstellen, da ein Quellcode-Puffer der C: SENTRY.SYS-Datei verwendet wird.

Um seine Präsenz im System zu erkennen, verwendet der Virus die System Registry und schreibt seine ID-Werte in den Schlüssel "HKEY_CURRENT_USERSoftwareVB und VBA Program SettingsOffice8.0". Es gibt zwei Werte, die das Vorhandensein / Fehlen von Viren im System kennzeichnen:


Shiver [DDE] = ALT-F11
Shiver [DDE] = NoNos (
Abhängig vom System-Zufallszähler setzt der Virus diesen Schlüssel auf "NoNos (" zurück und erzwingt seine Infektionsroutinen, um infizierte WORD8.DOT und PERSONAL.XLS in den Word- und Excel-Startverzeichnissen zu erneuern.

Die Virus Interna

Der Virus enthält 18 Makros in einem "Module1":

AutoExec – Word Auto-Funktion, enthält Word-Reinfektion Routine
AutoOpen – Word Auto-Funktion, enthält Word Docs Infektion Routine
WordStealth – fügt die Stealth-Makros ToolsMacro, FileTemplates, ViewVBCode hinzu
in die globalen Word-Makros (NORMAL.DOT)
AutoExit – Word-Auto-Funktion, infiziert Excel
FindExcel – Excel-Suchroutine
PersonalFun – wird für Excel-Infektionen verwendet
CheckMarker – "Bist du hier?" Funktion, überprüft die Registrierung
MakeMarker – schreibt die Virus ID in die Registry
PXL_Done – wird für Excel-Infektionen verwendet
Auto_Open – Excel-Auto-Funktion, hooks die Blattaktivierungsroutine
ShiverTime – Sheets Aktivierung Nutte und Infektor
wdTrigger – Word-Trigger-Routine
xlTrigger – Excel Trigger-Routine
Auto_Close – Excel Auto-Funktion, verbreitet den Virus in Word
Verzögerung – Wird für die Word-Infektion verwendet
wdReEvalInfection – sucht nach infizierten PERSONAL.XLS in Excel startup-dir
xlReEvalInfection – sucht nach infiziertem WORD8.DOT in Word startup-dir
DDE_Info – do-nothing Makro, enthält das "copyright":
Shiver [DDE] von ALT-F11 mit Hilfe von ALT-F4
Dies ist der erste Virus der Alternative Virus Mafia (AVM)
ALT-F4 – "Ich wurde geboren zum Sterben"
ALT-F11 – "Aktionen ohne Gedanken"

Triggerroutinen

Der Virus verfügt über Stealth-Fähigkeiten. Unter Excel werden die Menüpunkte Fenster / Einblenden … und Werkzeuge / Makro deaktiviert. Unter Word erstellt es auch die Stealth-Makros im NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode im Modul "ThisDocument". Als Folge versteckt der Virus seinen Code. Der Virus deaktiviert außerdem den Office97-Virenschutz.

Abhängig vom zufälligen Systemzähler führt der Virus folgende Effekte aus:

  • In Excel fügt es in die zufällig ausgewählte Zelle die Kommentare ein:

    Shiver [DDE] von ALT-F11
  • In Word erstellt es die C: SISTER.DLL-Datei, schreibt den Text dorthin und führt WRITE aus, um es anzuzeigen:

    Hey Mann, ich mag deine Schwester
    Hey Mann, ich hoffe das ist cool
    Hey Mann, ich habe irgendwie meinen Verstand verloren
    Jedes einzelne Mal finde ich deine Schwester
    Am Pool sonnengebräunt
    Hey Mann, ich möchte sie nackt sehen
    Hey Mann, ich bin immer in ihrem Zimmer
    Ganz allein, wenn niemand da ist
    Durch ihre Unterwäsche gehen
    Hey Mann, ich muss sie bald sehen
    Hey Mann, ich werde sie niemals schwanger bekommen
    Aber Hey Mann, wie kann ich ihr widerstehen
    Der Tag, an dem ich ihr eine Hochzeitsband gebe
    Werden Sie mein bester Mann sein?
    Hey Mann, ich mag deine Schwester
    Ich mag deine Schwester
    Ich mag deine Schwester
    Ich mag sie
  • In Word werden die Menüelemente umbenannt:

    Werkzeuge / Makro = "Shiver [DDE] von ALT-F11"
    Datei / Versionen … = "Cum Stained Sheets …"
    Bearbeiten / Einfügen Spezial … = "Hey Mann, ich hab deine Mom …"
    Insert / Break … = "Willst du etwas MDMA machen?"
    Hilfe / Über Microsoft Word = "Frieden, Liebe und Drogen"
    Datei / Eigenschaften = "Ich werde glücklich sterben, du wirst einfach sterben"
    Bearbeiten / Gehe zu … = "Heywood Jablommi"
    Extras / Wörter zählen … = "Body Count"
    Format / Schriftart … = "Fotze"
    Datei / Schließen = "Keine Kleidung"
    Fenster / Split = "Blow Me"
    Einfügen / Bild = "Crusty Porn GIF"
    Datei / Drucken … = "Meine Eier jucken"
    Format / Aufzählungszeichen und Nummerierung … = "Pillen und Nadeln"
    Tabelle / Tabelle einfügen … = "Einfügen und Probe"
    Extras / Anpassen … = "Sodomize …"
    Tools / Rechtschreibung und Grammatik … = "Rechtschreibung und deine Großmutter …"
    Ansicht / Symbolleisten = "Gaybars"
    Ansicht / Hauptdokument = "Masturbation"


Link zum Original