DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen Virus Multi

Virus.Multi.Fabi

Kategorie
Virus
Plattform
Multi

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Virus

Viren replizieren auf den Ressourcen der lokalen Maschine.

Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:

Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.


Mehr Informationen

Plattform: Multi

No platform description

Beschreibung

Technische Details

Dies ist ein Multi-Plattform-Virus, der ausführbare Windows32-Dateien (PE EXE) und MS Word-Dokumente und Vorlagen infiziert. Wie jeder Multi-Plattform-Virus enthält sein Code mehrere Teile (Komponenten), von denen jeder seine Arbeit in seiner nativen Umgebung ausführt: als Win32-Anwendung in MS Windows oder als Makroprogramm in MS Word. Wenn eine der beiden Virenkomponenten in ihrer Umgebung gestartet wird, infiziert sie nicht nur Objekte in dieser Umgebung, sondern verbreitet auch Virencode auf einen anderen: von der Windows EXE-Datei in Word-Dokumente und von Word-Dokumenten in Windows EXE-Dateien.

Das Virus enthält keine Zerstörung und manifestiert sich in keiner Weise. Die infizierten EXE-Dateien enthalten den folgenden Text: 

(c) VecnaParecia inofensiva mas dominou ...

EXE infizieren -> EXE

Wenn eine infizierte EXE-Datei ausgeführt wird, übernimmt die EXE-Virus-Komponente die Kontrolle. Es überprüft den installierten Betriebssystemtyp, und wenn es Windows NT ist, gibt der Virus die Kontrolle an das Host-Programm zurück und führt keine anderen Aktionen aus. Der Virus führt seine Infektionsroutine nur aus, wenn er in Windows95 / 98 ausgeführt wird. Diese Routine sucht und infiziert alle ausführbaren Win32-Dateien im aktuellen Verzeichnis sowie in WINDOWS- und WINDOWSSYSTEM-Verzeichnissen. Beim Infizieren des Virus schreibt der Code seinen Code an das Ende des letzten Abschnitts, erhöht seine Größe und modifiziert die notwendigen PE-Header-Felder.

Aufgrund eines Fehlers beschädigt der Virus EXE-Dateien für den Fall, dass die letzte Abschnittsgröße mehr als 64 KB beträgt - der Virus schreibt seinen Code in die Dateimitte, und beschädigte Programme bleiben unbrauchbar und funktionieren nicht mehr.

Makro infizieren -> Makro, Makro -> EXE

In infizierten Dokumenten und Vorlagen enthält der Virus ein Makro AutoClose. Es wird beim Öffnen eines infizierten Dokuments in den globalen Word-Makrobereich installiert und infiziert andere Dokumente, die dann geschlossen werden. Um seinen Code von einem Dokument / einer Vorlage in ein anderes Dokument zu kopieren, verwendet der Virus Anweisungen zur Makrocode-Bearbeitung.

Um infizierte Windows EXE-Dateien auszuführen, verwendet der Virus den Standardweg. Die binären Daten der EXE-Datei werden in Virusmakros in Textstichen gespeichert - die binären EXE-Daten werden in ASCII-hexadezimale Speicherauszüge konvertiert. Der Virus speichert diese Daten auf der Festplatte, erstellt einen temporären DOS-BAT-Helfer und konvertiert mithilfe dieses Hilfsprogramms und des DOS-DEBUG-Dienstprogramms hexadezimale Speicherauszüge zurück in das binäre EXE-Format und führt sie aus. Die EXE-Komponente des Virus übernimmt die Kontrolle, es läuft und infiziert EXE-Dateien auf der Festplatte, wie oben beschrieben.

Die bekannte Version des Virus hat hier einen Fehler und kann keine EXE-Dateien von der Makro-Virus-Komponente erstellen. Daher bleiben Windows EXE-Dateien nicht infiziert.

EXE infizieren -> Makro

Die Routine, die die Makrokomponente aus infizierten EXE-Dateien in Word löscht, wird aktiviert, unmittelbar nachdem die Prozedur zum Durchsuchen und infizieren der EXE-Dateien abgeschlossen ist. Diese Routine ist komplexer als die oben beschriebenen und benötigt mehr temporäre Dateien, um den Virencode von EXE nach Word zu übertragen. Der Virus erstellt hier drei Hauptdateien: 

FABI.SYS - "Pseudo" PE EXE-Datei, die Infektion durch EXE-Virus-Komponente erhältFABI.SRC - der Quellviren-Makrocode plus FABI.SYS-Binärdatenin hexadezimale ASCII-Zeichenfolgen konvertiertNORMAL.DOT - Word-Vorlage mit einem kleinen Makro, das den Virus vervollständigtInstallation: importiert den Hauptviruscode von FABI.SRC nachNORMAL.DOT

Um die Verbreitung von EXE zu Word zu starten, erstellt der Virus eine kurze PE EXE-Datei C: FABI.SYS und infiziert sie. Der Virus erstellt dann die C: FABI.SYS-Datei und schreibt seinen Makroprogramm-AutoClose-Quellcode dorthin. Dann hängt es an diese Datei die C: FABI.SYS-Datei Daten in hexadezimale ASCII-Zeilen konvertiert. Um diesen Schritt abzuschließen, erstellt der Virus eine speziell vorbereitete NORMAL.DOT-Datei. Der Virus sucht nach einem geeigneten Ort, um diese Datei in Verzeichnisse zu löschen: 

C: ARQUIV ~ 1 / MICROS ~? / MODELOSC: ARCHIV ~ 1 / MICROS ~? / MODELOSC: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1

woher '?' wird von 1 bis 9 gezählt. Die Datei NORMAL.DOT, die im ersten gefundenen Verzeichnis erstellt wird, enthält ein kurzes Makro AutoExec, das beim Starten von MS Word aktiviert wird. Dieses Makro importiert nur den Quellcode des Virenmakros aus der Datei C: FABI.SRC und schließt die Vireninstallation ab: Das Programm NORMAL.DOT ist jetzt mit vollständigem Virencode infiziert.

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.