DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Multi.Cocaine

Kategorie Virus
Plattform Multi
Beschreibung

Technische Details

Dies ist die parasitäre Windows PE-Dateien und MS Word normalen Vorlagen Infektor mit E-Mail-Verbreitung Fähigkeit, etwa 22 KB Länge. Der Virus hat drei Instanzen: in Windows PE EXE-Dateien, in Word NORMAL-Vorlage und als angehängte Datei in E-Mail-Nachrichten.

Der Viruscode in infizierten PE EXE-Dateien ist die Hauptinstanz. Wenn es ausgeführt wird, sucht der Virus nach PE EXE-Dateien in den aktuellen und Windows-Verzeichnissen und infiziert sie. Der Virus löscht auch das infizierte NORMAL.DOT aus seiner PE EXE-Instanz in das MS Word-Verzeichnis und sendet infizierte E-Mails. Die Virusinstanz in der NORMAL-Vorlage bei jedem Schließen des Dokuments löscht die infizierte PE EXE-Datei und führt sie aus. Andere Dokumente und Vorlagen können nicht infiziert werden. Der Viruscode in E-Mails wird als angehängte Datei angezeigt, die mit einer infizierten PE EXE Windows-ausführbaren Datei mit einem zufälligen Namen oder einer infizierten NORMAL-Vorlage infiziert ist.

Der Virus ist pro-Prozess-Speicher resident. Dies bedeutet, dass die Viruskopie lange im Speicher bleiben kann, bis die infizierte Anwendung beendet wird. Wenn nur "kurzlebige" Anwendungen infiziert sind, ist der Virencode lange nicht im Systemspeicher vorhanden. Wenn eine Anwendung im Dauerbetrieb infiziert ist, ist der Virus während langer Zeit aktiv, hakt Windows-Funktionen, infiziert PE EXE-Dateien, auf die zugegriffen wurde, und sendet E-Mail-Nachrichten.

Der Virus ist sowohl in PE-Dateien als auch in der Word-NORMAL-Vorlage polymorph. Der Virus hat zwei polymorphe Engines in seinem EXE-Code: der erste erzeugt eine polymorphe Entschlüsselungsschleife in infizierten PE-EXE-Dateien, der zweite macht das Virus-Makro-Programm in infiziertem NORMAL.DOT ebenfalls polymorph.

Der Virus hat eine Payload-Routine, die ausgeführt wird, wenn eine infizierte Datei vier Monate nach der Infektion ausgeführt wird. Diese Routine zeigt die Nachrichtenfelder an, die den Header "W32 / Wm.Cocaine" und den zufällig ausgewählten Text aus sieben Varianten haben:


Dein Leben verbrennt schneller, gehorche deinem Meister …
Hacken Sie Ihr Frühstück auf einem Spiegel …
Adern, die mit Angst pumpen, saugen am dunkelsten klar …
Schmecke mich, du wirst sehen, mehr ist alles was du brauchst …
Ich werde besetzen, ich werde dir helfen zu sterben …
Ich werde dich durchfahren, jetzt beherrsche ich dich auch …
Meister der Puppen, ich ziehe deine Fäden …

Der Virus beachtet Antivirenprogramme und versucht diese zu deaktivieren. Jedes Mal, wenn eine infizierte Datei ausgeführt wird und der Virus seine pro-prozentige residente Kopie installiert, sucht er im aktuellen Verzeichnis nach Antiviraldatendateien und löscht sie. Die Namen dieser Dateien sehen folgendermaßen aus: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN und andere Antiviren-Daten Dateien). Der Virus lokalisiert und beendet auch die alte Version des On-Access-Scanners von AVP Monitor.

Die bekannte Virusversion weist Fehler auf und kann nicht von der Word-Makroinstanz auf die ausführbare Windows-Datei verteilt werden. Es hat auch einen Fehler in der PE EXE-Infektionsroutine und beschädigt einige ausführbare WinNT-Dateien.

Der Virus hat einen "Copyright" -Text:


(c) Vecna

Einige Virusroutinen (insbesondere Makro-Routinen) sind mit dem Multi-Plattform-Virus "Fabi" verwandt, und einige infizierte Dateien werden möglicherweise durch den Namen dieses Virus erkannt.

Technische Details

Der Virus hat eine ziemlich große Größe für ein in Assembler geschriebenes Programm – etwa 22 KB und hat viele Routinen, die aus technischer Sicht recht interessant sind.

Infizierter EXE-Lauf

Wenn eine infizierte Datei die Kontrolle übernimmt, werden die polymorphen Entschlüsselungsschleifen ausgeführt. Sie entschlüsseln den Viruscode Schicht für Schicht (der Virus wird durch mehrere Schleifen verschlüsselt – von zwei bis fünf) und übergibt die Kontrolle an die Vireninstallationsroutine. Es ist notwendig zu beachten, dass mehrere Virenblöcke immer noch verschlüsselt bleiben. Der Virus entschlüsselt und greift bei Bedarf darauf zu und verschlüsselt dann zurück. Diese Blöcke sind MS Word Infektionsdaten und Routine sowie PE EXE polymorphe Engine.

Die Virusinstallationsroutine sucht nach notwendigen Windows API-Funktionsadressen, die später vom Virus verwendet werden. Die Liste dieser Funktionen ist ziemlich lang, dies wird durch eine Liste von Dingen verursacht, die der Virus tut, um sich zu verbreiten. Die Liste der Funktionen, nach denen der Virus sucht, lautet:


Exportiert nach Funktionsliste
———– ————–
KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA
CreateFileA WinExec CloseHandle LoadLibraryA FreeLibrary
CreateFileMappingA MapViewOfFile UnmapViewOfFile
FindFirstFileA FindNextFileA FindClose SetEndOfFile
VirtualAlloc VirtualFree GetSystemTime
GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime
ExitProcess GetCurrentProcess WriteProcessMemory WriteFile
DeleteFileA Sleep CreateThread GetFileSize SetFilePointer
USER32.DLL: MessageBoxA FindWindowA PostMessageA
ADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA
RegQueryValueExA RegCloseKey
MAPI32.DLL: MAPISendMail

Der Virus bekommt die Adressen dieser Funktionen durch den Standard-Windows-Virustrick: Er findet das Image auf KERNEL32.DLL im Windows-Speicher, durchsucht seine Export-Tabelle und erhält Adressen von zwei Funktionen: GetModuleHandle und GetProcAddress. Mit diesen beiden Funktionen kann der Virus dann leicht alle Adressen anderer notwendiger Funktionen lokalisieren. Das interessanteste Merkmal dieser Routine ist die Tatsache, dass dies der erste Virus ist, der nicht nur Win95 / 98- und WinNT-Adressen verarbeitet, während er nach KERNEL32.DLL-Bildern sucht, sondern auch auf Win2000-Adressen achtet.

Der Virus lokalisiert und infiziert das MS Word, sucht dann nach PE EXE-Dateien und infiziert sie auch. Anschließend hakt er eine Reihe von Systemereignissen (Zugriff auf Dateien und E-Mails), mit denen mehr Dateien gefunden und infiziert werden können das Internet in angehängten E-Mails.

Infizieren von MS Word

Die erste Infektionsroutine, die vom Virus aktiviert wird, ist MS Word, die die Routine beeinflusst, wenn sie im System installiert ist. Zunächst einmal überprüft der Virus die Anwesenheit der Datei C: ANCEV.SYS.

Die Datei C: ANCEV.SYS ("ANCEV" = "VECNA" rückwärts geschrieben) hat einen besonderen Zweck. Diese Datei wird erstellt, wenn die Infektionsroutine der MS Word-Vorlage abgeschlossen ist. Diese Dateipräsenz bedeutet also, dass MS Word gefunden wurde und die Vorlage NORMAL.DOT infiziert ist. In diesem Fall sendet der Virus beim Senden von E-Mails die Vorlage NORMAL.DOT, aber nicht die infizierte EXE-Pipette.

Daher sucht der Virus nach dieser Datei ganz oben in der MS Word-Infektionsroutine. Wenn es nicht existiert, setzt das Virus die Infektion fort. Wenn diese Datei gefunden wird, setzt das Virus zufällig in einem Fall von zehn eine Infektion fort, und in neun Fällen von zehn verlässt Infektion Routine. Tha bedeutet, dass in einem Fall von zehn MS Word NORMAL.DOT trotzdem erneut infiziert wird.

Der Virus deaktiviert dann den Schutz von Word VirusWarning, indem er die Systemregistrierungsschlüssel ändert, in denen Word seine Einstellungen speichert:


SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection

Der Virus erhält dann Word-Vorlagen-Verzeichnis auch durch Lesen der Systemregistrierung:


SOFTWAREMicrosoftOffice8.0CommonFileNewLocalTemplates

und löscht die NORMAL.DOT-Vorlagen dort und erstellt dann eine neue NORMAL.DOT-Vorlagendatei – infiziert. Das infizierte NORMAL.DOT enthält ein kleines Makro. Dieses Makro hat "AutoExec" Word Auto-Name, es wird beim nächsten Word-Start automatisch ausgeführt und importiert das Haupt-Virus-Makro aus der C: COCAINE.SYS-Datei.

Die C: COCAINE.SYS-Datei wird von dem Virus direkt nach dem Überschreiben der NORMAL.DOT-Vorlage erstellt. Diese SYS-Datei ist eine Textdatei, die den Quellcode des VBA-Programms enthält. Diese Quelle wird vom Virus aus seinem Code extrahiert, mit JMP-Anweisungen (polymorphe VBA-Anweisungen) gemischt und von infizierten PE-EXE-Pipetten, die in ASCII-Zeichenfolgen konvertiert wurden, angehängt.

Die MS Word-Infektionsroutine funktioniert also in zwei Schritten. Zuallererst ersetzt der Virus das ursprüngliche NORMAL.DOT durch ein neues, das das "AutoExec" -Makoprogramm (Loader) enthält, das den vollständigen Viruscode aus der C: COCAINE.SYS-Datei importiert, und vervollständigt damit den Viruscode aus der PE EXE-Datei zu MS Word Vorlage.

Von Word zu EXE

Um die PE EXE-Datei von ihrer Word-Vorlageninstanz zu löschen, verwendet der Virus den Trick der Standard-Makroviren. Es erstellt zwei Dateien: Die erste Datei ist die Datei C: COCAINE.SRC mit dem infizierten PE-EXE-Dateibild, die in das ASCII-Format konvertiert wurde, und die zweite Datei ist ein DOS-Stapel mit einem zufälligen Namen. Diese Stapeldatei enthält eine Reihe von Anweisungen, mit denen das DOS-DEBUG-Dienstprogramm ausgeführt wird, das ASCII-Dump wieder in das binäre PE-EXE-Formular konvertiert und ausführt.

Der Virus springt also aus der infizierten Word-Vorlage zu Windows.

PE EXE-Dateien infizieren

Wenn MS Word betroffen ist, wird der Virus in die PE EXE-Dateiinfektionsroutine verschoben. Der Virus sucht nach PE EXE-Dateien in den aktuellen und Windows-Verzeichnissen und infiziert sie. Die einzigen Dateien sind infiziert, die Dateinamenerweiterungen .EXE oder .SCR haben.

Der Virus sucht dann nach installiertem Browser und Mailer und infiziert sie ebenfalls. Der Virus lokalisiert sie nach Systemregistrierungsschlüsseln im Speicher HKEY_LOCAL_MACHINE:


SOFTWAREClasseshtmlfileshellopencommand
SOFTWAREClassesmailtoshellopencommand

Der Virus benötigt diese Dateien, um seine Internet-Infektionsroutinen zu aktivieren. Wenn diese auf das Internet zugreifenden Anwendungen infiziert sind, ist die Viruskopie genau dann in dem Speicher aktiv, wenn ein Benutzer mit dem Internet verbunden ist. Dies ist notwendig, damit das Virus seine Internet-Verbreitung Fähigkeit verwirklichen kann.

PE EXE Infektionsmechanismus

Der Virus überprüft mehrere Bedingungen, bevor er die Datei infiziert. 1.: Die Dateilänge muss nicht durch 101 teilbar sein (es handelt sich um einen Virenschutz, um Mehrfachinfektionen zu vermeiden, die bereits infizierten PE EXE-Dateien haben eine solche Länge). 2. Wenn der Virus nach EXE-Dateien im aktuellen und Windows-Verzeichnis sucht, um sie zu infizieren, darf der Name der Datei keinen 'V'-Buchstaben oder -Ziffern enthalten. Hier vermeidet der Virus die gängigsten Antivirus-Scanner und die "Ziegen-Dateien" -Infektion.

Wenn der erste Abschnitt groß genug ist (mehr als 2304 Bytes), schreibt der Virus mehrere Blöcke von Junk-Code dorthin, die Block für Block an die Haupt-Entschlüsselungsschleifen weiterleiten. Es gibt acht Blöcke, die in Dateien geschrieben werden, wenn der Virus sie infiziert:


+ ———— +
| |
| PE Kopfzeile | ————— +
| ———— | |
| + —– + <- + | |
| | Junk2 | || |
| + —– + – + || Einstiegspunkt |
| + —– + ||| <————— +
|| Junk1 | |||
| + —– + —- + |
| | |
| + —– + <- + |
|| Junk3 | |
| + —– + —- + |
| V |
| . . . |
| + —– + |
| + —- | Junk8 ||
|| + —– + |
| V |
| ———— |
| Viruscode |
| |
+ ———— +

In diesem Fall ändert der Virus nicht die Eintrittspunktadresse des Programms, aber er muss alle überschriebenen Blöcke der Host-Datei wiederherstellen, bevor er die Rückkehr zur ursprünglichen Eingabe-Prozedur zurückgibt.

Wenn der erste Abschnitt kurz ist, geht das Steuerelement direkt an den Virencode. In diesem Fall ändert der Virus die Eingabeadresse des Programms, um die Kontrolle zu erhalten, wenn infizierte Dateien ausgeführt werden.

Der Viruscode selbst ist durch mehrere (von zwei bis fünf) polymorphe Schleifen verschlüsselt. Die polymorphe Engine im Virus ist ziemlich stark und produziert etwa 2 Kb polymorphe Schleifen.

Der Virus patcht auch den Import-Abschnitt, um die Funktionen GetProcAddress, GetModuleHandle, CreateProcessA, WinExec und MAPISendMail zu erhalten, wenn die ausführbare Infektion ausgeführt wird.

Nachdem der gesamte Virus seinen verschlüsselten Code an das Ende des letzten Dateiabschnitts geschrieben hat, erhöht er die Abschnittsgröße, indem er den PE-Header patcht.

Abfangende Ereignisse

Wenn die direkten Infektionsroutinen von Word und PE EXE abgeschlossen sind, hakt der Virus mehrere Windows-Funktionen ein und verbleibt als Teil des Hostprogramms im Windows-Speicher. Der Virus hakt zwei Dateizugriffsfunktionen WinExec und CreateProcessA, wenn sie vom Host-Programm aus der KERNEL32.DLL importiert werden. Wenn diese Funktionen die Kontrolle erhalten (ein Programm wird ausgeführt), erhält der Virus den Dateinamen des Programms, ruft sein Verzeichnis ab, sucht und infiziert PE-EXE-Dateien in diesem Verzeichnis.

E-Mails senden

Der pro-Prozess residente Viruscode führt außerdem E-Mail-Infektionsthread, Hooks MAPISendMail, die aus MAPI32.DLL exportiert wird, "connect" und "recv" aus WSOCK32.DLL und GetProcAddress aus KERNEL32.DLL aus.

Der erste Hook wird vom Virus verwendet, um seine Kopie an das Internet zu senden. Wenn der Virus dieses Ereignis abfängt, sucht er nach angehängten Daten in der Nachricht. Wenn kein Anhang vorhanden ist, hängt der Virus an die Nachricht an, die mit der infizierten Datei NORMAL.DOT oder der infizierten PE EXE-Datei infiziert ist (letztere wird auf der Festplatte in der Datei C: ENIACOC.SYS erstellt).

Die Haken "GetProcAddress", "connect" und "recv" werden vom Virus verwendet, um eine zweite Methode zum Senden infizierter E-Mails zu realisieren. Wenn eine Nachricht eintrifft, durchsucht der Virus seine Kopfzeile nach dem Feld "mailto:", ruft die Adresse von dort ab und speichert sie in einer eigenen Datenbank.

Der Infizierungs-Thread, der die Kontrolle übernimmt, sucht nach der E-Mail-Adresse, die von "Connect" – und "Recv" -Hookern abgefangen wurde, berechnet seine CRC und vergleicht sie mit der Datenbank "bereits infizierte Adressen", die in der Datei BRSCBC.DAT im Windows-Systemverzeichnis gespeichert ist. Wenn diese Adresse noch nicht gesendet wurde, fügt der Virus sie der Datenbank BRSCBC.DAT hinzu, erstellt eine Nachricht mit der Vorlage NORMAL oder einer infizierten PE EXE-Datei und sendet sie mit der MAPISendMail-Funktion. Das Betrefffeld für die Nachricht wird zufällig aus Varianten ausgewählt:


Kewl Seite!
Verbesserung auf Ihrer Seite
Deine Seite r0x0r!
Das musst du sehen…
Geheimes Zeug!

Durch die Verwendung der BRSCBC.DAT-Datenbank vermeidet der Virus doppelte Übertragungen, aber auf jedem infizierten Programm löscht der Virus abhängig von seinem zufälligen Zähler diese Datei und löscht dadurch die "Do-not-send" -Datenbank.

Die "GetProcAddress", die auch von Virus-TSR-Kopie angeschlossen ist, wird nur zum Abfangen von "verbinden" und "recv" WSOCK32.DLL-Funktionen verwendet, wenn eine Anwendung diese Routinen nicht "standardmäßig" importiert, sondern aktiviert sie im Bedarfsfall. Um das zu tun, fängt der Haken "GetProcAddress" den Zugriff auf die Adressen von "connect" und "recv" der WSOCK32.DLL-Funktionen ab. Wenn eine Anwendung versucht, Adressen dieser Routinen für die Verwendung von Internetverbindungen abzurufen, gibt der Virus Adressen seiner eigenen "Connect" – und "Recv" -Hooker zurück und fängt so die Internetverbindung ab.


Link zum Original