Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Virus
Viren replizieren auf den Ressourcen der lokalen Maschine.Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:
Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.
Mehr Informationen
Plattform: Multi
No platform descriptionBeschreibung
Technische Details
Dies ist ein Multi-Plattform-Virus, der ausführbare Windows32-Dateien (PE EXE) und MS Word-Dokumente und Vorlagen infiziert. Wie jeder Multi-Plattform-Virus enthält sein Code mehrere Teile (Komponenten), von denen jeder seine Arbeit in seiner nativen Umgebung ausführt: als Win32-Anwendung in MS Windows oder als Makroprogramm in MS Word. Wenn eine der beiden Virenkomponenten in ihrer Umgebung gestartet wird, infiziert sie nicht nur Objekte in dieser Umgebung, sondern verbreitet auch Virencode auf einen anderen: von der Windows EXE-Datei in Word-Dokumente und von Word-Dokumenten in Windows EXE-Dateien.
Das Virus enthält keine Zerstörung und manifestiert sich in keiner Weise. Die infizierten EXE-Dateien enthalten den folgenden Text:
(c) VecnaParecia inofensiva mas dominou ...
EXE infizieren -> EXE
Wenn eine infizierte EXE-Datei ausgeführt wird, übernimmt die EXE-Virus-Komponente die Kontrolle. Es überprüft den installierten Betriebssystemtyp, und wenn es Windows NT ist, gibt der Virus die Kontrolle an das Host-Programm zurück und führt keine anderen Aktionen aus. Der Virus führt seine Infektionsroutine nur aus, wenn er in Windows95 / 98 ausgeführt wird. Diese Routine sucht und infiziert alle ausführbaren Win32-Dateien im aktuellen Verzeichnis sowie in WINDOWS- und WINDOWSSYSTEM-Verzeichnissen. Beim Infizieren des Virus schreibt der Code seinen Code an das Ende des letzten Abschnitts, erhöht seine Größe und modifiziert die notwendigen PE-Header-Felder.
Aufgrund eines Fehlers beschädigt der Virus EXE-Dateien für den Fall, dass die letzte Abschnittsgröße mehr als 64 KB beträgt - der Virus schreibt seinen Code in die Dateimitte, und beschädigte Programme bleiben unbrauchbar und funktionieren nicht mehr.
Makro infizieren -> Makro, Makro -> EXE
In infizierten Dokumenten und Vorlagen enthält der Virus ein Makro AutoClose. Es wird beim Öffnen eines infizierten Dokuments in den globalen Word-Makrobereich installiert und infiziert andere Dokumente, die dann geschlossen werden. Um seinen Code von einem Dokument / einer Vorlage in ein anderes Dokument zu kopieren, verwendet der Virus Anweisungen zur Makrocode-Bearbeitung.
Um infizierte Windows EXE-Dateien auszuführen, verwendet der Virus den Standardweg. Die binären Daten der EXE-Datei werden in Virusmakros in Textstichen gespeichert - die binären EXE-Daten werden in ASCII-hexadezimale Speicherauszüge konvertiert. Der Virus speichert diese Daten auf der Festplatte, erstellt einen temporären DOS-BAT-Helfer und konvertiert mithilfe dieses Hilfsprogramms und des DOS-DEBUG-Dienstprogramms hexadezimale Speicherauszüge zurück in das binäre EXE-Format und führt sie aus. Die EXE-Komponente des Virus übernimmt die Kontrolle, es läuft und infiziert EXE-Dateien auf der Festplatte, wie oben beschrieben.
Die bekannte Version des Virus hat hier einen Fehler und kann keine EXE-Dateien von der Makro-Virus-Komponente erstellen. Daher bleiben Windows EXE-Dateien nicht infiziert.
EXE infizieren -> Makro
Die Routine, die die Makrokomponente aus infizierten EXE-Dateien in Word löscht, wird aktiviert, unmittelbar nachdem die Prozedur zum Durchsuchen und infizieren der EXE-Dateien abgeschlossen ist. Diese Routine ist komplexer als die oben beschriebenen und benötigt mehr temporäre Dateien, um den Virencode von EXE nach Word zu übertragen. Der Virus erstellt hier drei Hauptdateien:
FABI.SYS - "Pseudo" PE EXE-Datei, die Infektion durch EXE-Virus-Komponente erhältFABI.SRC - der Quellviren-Makrocode plus FABI.SYS-Binärdatenin hexadezimale ASCII-Zeichenfolgen konvertiertNORMAL.DOT - Word-Vorlage mit einem kleinen Makro, das den Virus vervollständigtInstallation: importiert den Hauptviruscode von FABI.SRC nachNORMAL.DOT
Um die Verbreitung von EXE zu Word zu starten, erstellt der Virus eine kurze PE EXE-Datei C: FABI.SYS und infiziert sie. Der Virus erstellt dann die C: FABI.SYS-Datei und schreibt seinen Makroprogramm-AutoClose-Quellcode dorthin. Dann hängt es an diese Datei die C: FABI.SYS-Datei Daten in hexadezimale ASCII-Zeilen konvertiert. Um diesen Schritt abzuschließen, erstellt der Virus eine speziell vorbereitete NORMAL.DOT-Datei. Der Virus sucht nach einem geeigneten Ort, um diese Datei in Verzeichnisse zu löschen:
C: ARQUIV ~ 1 / MICROS ~? / MODELOSC: ARCHIV ~ 1 / MICROS ~? / MODELOSC: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1
woher '?' wird von 1 bis 9 gezählt. Die Datei NORMAL.DOT, die im ersten gefundenen Verzeichnis erstellt wird, enthält ein kurzes Makro AutoExec, das beim Starten von MS Word aktiviert wird. Dieses Makro importiert nur den Quellcode des Virenmakros aus der Datei C: FABI.SRC und schließt die Vireninstallation ab: Das Programm NORMAL.DOT ist jetzt mit vollständigem Virencode infiziert.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com