Virus.MSOffice.Shiver

Technische Details

Dieser Makrovirus infiziert zwei Office97-Anwendungen: Word-Dokumente und Excel-Tabellen. Um mit verschiedenen Office97-Anwendungen kompatibel zu sein, verwendet der Virus VisualBasic-Kompatibilität und verwendet den gleichen Code in Word und Excel.

Der Virus infiziert das System, Dokumente und Blätter beim Öffnen von Dateien (Auto-Makros AutoOpen in Word und Auto_Open in Excel). Beim Infizieren des Virus werden Office97-Funktionen über die Datei C: SHIVER.SYS exportiert / importiert. Es schreibt (exportiert) seinen Code dorthin und liest (importiert) dann in ein Objekt, das infiziert wird.

Sowohl unter Word als auch unter Excel repliziert sich der Virus mit Standardtricks. Beim Infizieren von Word-Dateien kopiert der Virus seinen Code in den Dokument- oder globalen Makrobereich (NORMAL.DOT). Unter Excel haken die Blätter den Aktivierungsprozess und setzen die Infektionsmakros ShiverTime als Handler. Der Virus speichert auch die infizierte PERSONAL.XLS-Datei im Excel-Startverzeichnis und infiziert dadurch den System-Excel-Bereich.

Beim Verlassen von Word (AutoExit) versucht der Virus seinen Code von Word nach Excel zu verteilen. Der Virus verwendet die DDE-Funktionen: Er führt Excel in minimierten Fenstern aus und gibt dort Daten und Befehle weiter, die zum Erstellen der infizierten PERSONAL.XLS-Datei im Excel-Startverzeichnis erforderlich sind. Der Virus infiziert Word von Excel auf ähnliche Weise: Er führt minimiertes Word aus, öffnet Visual Basic Editor und liest seinen Code aus der Datei C: SHIVER.SYS.

Der Virus löscht seine C: SHIVER.SYS-Datei nach der Infektion nicht und verwendet sie, um Word erneut zu infizieren, wenn der Hauptviruscode in Dokumenten und NORMAL.DOT gelöscht (desinfiziert) wurde. Dazu sucht der Virus bei jedem Start von Word im Word-Startverzeichnis nach der WORD8.DOT-Datei. Wenn es keine solche Datei gibt, erstellt der Virus sie und schreibt einen kurzen FileSaveAs-Makro dorthin. Dieses Makro enthält nur einige Befehle, die den Viruscode aus der Datei C: SHIVER.SYS in Dokumente importieren, die unter einem neuen Namen gespeichert werden. Dadurch bleibt der Virus immer aktiv, wenn alle Dokumente und NORMAL.DOT desinfiziert sind. Der Virus verwendet den gleichen Export / Import-Weg, um den WORD8.DOT-Dropper zu erstellen, da ein Quellcode-Puffer der C: SENTRY.SYS-Datei verwendet wird.

Um seine Präsenz im System zu erkennen, verwendet der Virus die System Registry und schreibt seine ID-Werte in den Schlüssel "HKEY_CURRENT_USERSoftwareVB und VBA Program SettingsOffice8.0". Es gibt zwei Werte, die das Vorhandensein / Fehlen von Viren im System kennzeichnen:

Shiver [DDE] = ALT-F11

Shiver [DDE] = NoNos (

Die Virus Interna

AutoExec – Word Auto-Funktion, enthält Word-Reinfektion Routine

AutoOpen – Word Auto-Funktion, enthält Word Docs Infektion Routine

WordStealth – fügt die Stealth-Makros ToolsMacro, FileTemplates, ViewVBCode hinzu

in die globalen Word-Makros (NORMAL.DOT)

AutoExit – Word-Auto-Funktion, infiziert Excel

FindExcel – Excel-Suchroutine

PersonalFun – wird für Excel-Infektionen verwendet

CheckMarker – "Bist du hier?" Funktion, überprüft die Registrierung

MakeMarker – schreibt die Virus ID in die Registry

PXL_Done – wird für Excel-Infektionen verwendet

Auto_Open – Excel-Auto-Funktion, hooks die Blattaktivierungsroutine

ShiverTime – Sheets Aktivierung Nutte und Infektor

wdTrigger – Word-Trigger-Routine

xlTrigger – Excel Trigger-Routine

Auto_Close – Excel Auto-Funktion, verbreitet den Virus in Word

Verzögerung – Wird für die Word-Infektion verwendet

wdReEvalInfection – sucht nach infizierten PERSONAL.XLS in Excel startup-dir

xlReEvalInfection – sucht nach infiziertem WORD8.DOT in Word startup-dir

DDE_Info – do-nothing Makro, enthält das "copyright":

Shiver [DDE] von ALT-F11 mit Hilfe von ALT-F4

Dies ist der erste Virus der Alternative Virus Mafia (AVM)

ALT-F4 – "Ich wurde geboren zum Sterben"

ALT-F11 – "Aktionen ohne Gedanken"

Triggerroutinen

Abhängig vom zufälligen Systemzähler führt der Virus folgende Effekte aus:

• In Excel fügt es in die zufällig ausgewählte Zelle die Kommentare ein:

  
  
  Shiver [DDE] von ALT-F11
  
  

• In Word erstellt es die C: SISTER.DLL-Datei, schreibt den Text dorthin und führt WRITE aus, um es anzuzeigen:

  
  
  Hey Mann, ich mag deine Schwester
  
  Hey Mann, ich hoffe das ist cool
  
  Hey Mann, ich habe irgendwie meinen Verstand verloren
  
  Jedes einzelne Mal finde ich deine Schwester
  
  Am Pool sonnengebräunt
  
  Hey Mann, ich möchte sie nackt sehen
  
  Hey Mann, ich bin immer in ihrem Zimmer
  
  Ganz allein, wenn niemand da ist
  
  Durch ihre Unterwäsche gehen
  
  Hey Mann, ich muss sie bald sehen
  
  Hey Mann, ich werde sie niemals schwanger bekommen
  
  Aber Hey Mann, wie kann ich ihr widerstehen
  
  Der Tag, an dem ich ihr eine Hochzeitsband gebe
  
  Werden Sie mein bester Mann sein?
  
  Hey Mann, ich mag deine Schwester
  
  Ich mag deine Schwester
  
  Ich mag deine Schwester
  
  Ich mag sie
  
  

• In Word werden die Menüelemente umbenannt:

  
  
  Werkzeuge / Makro = "Shiver [DDE] von ALT-F11"
  
  Datei / Versionen … = "Cum Stained Sheets …"
  
  Bearbeiten / Einfügen Spezial … = "Hey Mann, ich hab deine Mom …"
  
  Insert / Break … = "Willst du etwas MDMA machen?"
  
  Hilfe / Über Microsoft Word = "Frieden, Liebe und Drogen"
  
  Datei / Eigenschaften = "Ich werde glücklich sterben, du wirst einfach sterben"
  
  Bearbeiten / Gehe zu … = "Heywood Jablommi"
  
  Extras / Wörter zählen … = "Body Count"
  
  Format / Schriftart … = "Fotze"
  
  Datei / Schließen = "Keine Kleidung"
  
  Fenster / Split = "Blow Me"
  
  Einfügen / Bild = "Crusty Porn GIF"
  
  Datei / Drucken … = "Meine Eier jucken"
  
  Format / Aufzählungszeichen und Nummerierung … = "Pillen und Nadeln"
  
  Tabelle / Tabelle einfügen … = "Einfügen und Probe"
  
  Extras / Anpassen … = "Sodomize …"
  
  Tools / Rechtschreibung und Grammatik … = "Rechtschreibung und deine Großmutter …"
  
  Ansicht / Symbolleisten = "Gaybars"
  
  Ansicht / Hauptdokument = "Masturbation"