Virus.Multi.Angela

Technische Details

Dies ist ein mehrteiliger Virus, der Festplatten-MBR-Sektor, Boot-Sektor von Diskettenlaufwerken, DOS-EXE-Datei sowie Verbreitung über IRC-Kanäle durch Infizierung des mIRC-Clients sowie Mailing selbst mit MS Outlook infiziert.

Der Virus kann auf einem Computer auf einer infizierten Diskette, als infizierte DOS-EXE-Datei oder als infizierter Anhang in einer E-Mail-Nachricht angezeigt werden.

Der Virus hat keine Payloads und manifestiert sich in keiner Weise außer einem – er löscht die Datei:

C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

Der Virus muss diese Datei löschen, um Windows zu zwingen, die Diskettensektoren mit einer alten INT 13h-Methode zu betreiben (dies ist notwendig, damit das Virus seine Festplatteninfektions- und Stealth-Routinen ausführt, siehe unten).

Von einer infizierten Festplatte booten

Nach dem Laden von einer infizierten Festplatte, hakt der Virus INT 13h (Festplattenzugriff) und INT 1Ch (Timer). Durch Verwendung eines Timer-Hooks wartet der Virus, bis ein System hochfährt, hakt dann INT 21h (DOS-Funktionen) und infiziert DOS-EXE-Dateien, die ausgeführt werden. Durch den Zugriff auf INT 13h erhält der Virus Zugriff auf Disketten und infiziert ihre Bootsektoren. Der Virus erkennt auch {stealth: Stealth} eine Funktion beim Zugriff auf infizierte Festplattensektoren.

Infizierte DOS-EXE-Datei ausgeführt

Wenn der Virus aus einer infizierten DOS-EXE-Datei ausgeführt wird, infiziert er den MBR-Sektor der Festplatte, erstellt und registriert seinen DOS EXE-Dropper, erstellt ein VBS-Skriptprogramm zur Verbreitung mit E-Mail und erstellt ein mIRC-Skript, das an IRC-Kanäle gesendet wird .

Der Virus-Dropper hat den Namen ANGELA.EXE und wird im Verzeichnis C: WINDOWSSYSTEM erstellt (Wenn Windows in einem anderen Verzeichnis installiert ist, kann der Virus nicht auf IRC und in E-Mails übertragen werden). Diese Datei wird registriert, um bei jedem Neustart in der C: AUTOEXEC.BAT-Datei ausgeführt zu werden. Der Virus schreibt einen Befehl nach dort, um diese Datei bei jedem Neustart auszuführen, und fügt dieser Datei Kommentare hinzu:

@ECHO AUS
c: windowsystemangela.exe
REM – NICHT ENTFERNEN!

Der Virus-Dropper tut dasselbe wie der Virus in infizierten DOS-EXE-Dateien tut; Dh wenn eine der Viruskomponenten (VBS oder mIRC-Skript) gelöscht wird, erstellt der Virus sie beim nächsten Neustart neu.

Mailing

Der Virus erstellt die ANGELA.VBS-Datei im Windows-Startverzeichnis. Daher wird dieses Skript bei jedem Windows-Start aktiviert. Das Programm im Skript greift auf MS Outlook zu, erhält Adressbucheinträge und sendet eine Viruskopie (den ANGELA.EXE-Dropper) an die ersten 20 Adressen, die dort gefunden werden. Die Nachricht hat:

Betreff: Endlich gefunden!
Body: Hier sind die Dateien, nach denen du mich gefragt hast …
Name des Anhangs: angela.exe

Das Skript löscht dann seine VBS-Datei, und es werden keine infizierten Nachrichten mehr während der gleichen Windows-Sitzung gesendet, aber beim nächsten Neustart des Computers wird der ANGELA.EXE-Dropper von AUTOEXEC.BAT aktiviert und der VBS wird neu erstellt Mailing-Routine.

Infizierte IRC-Kanäle

Der Virus erstellt die Datei SCRIPT.INI im Verzeichnis C: MIRC. Dieses Skript sendet einen ANGELA.EXE-Dropper an alle Benutzer, die dem infizierten IRC-Kanal beitreten.