DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Multi.Fabi

Kategorie Virus
Plattform Multi
Beschreibung

Technische Details

Dies ist ein Multi-Plattform-Virus, der ausführbare Windows32-Dateien (PE EXE) und MS Word-Dokumente und Vorlagen infiziert. Wie jeder Multi-Plattform-Virus enthält sein Code mehrere Teile (Komponenten), von denen jeder seine Arbeit in seiner nativen Umgebung ausführt: als Win32-Anwendung in MS Windows oder als Makroprogramm in MS Word. Wenn eine der beiden Virenkomponenten in ihrer Umgebung gestartet wird, infiziert sie nicht nur Objekte in dieser Umgebung, sondern verbreitet auch Virencode auf einen anderen: von der Windows EXE-Datei in Word-Dokumente und von Word-Dokumenten in Windows EXE-Dateien.

Das Virus enthält keine Zerstörung und manifestiert sich in keiner Weise. Die infizierten EXE-Dateien enthalten den folgenden Text:


(c) Vecna
Parecia inofensiva mas dominou …

EXE infizieren -> EXE

Wenn eine infizierte EXE-Datei ausgeführt wird, übernimmt die EXE-Virus-Komponente die Kontrolle. Es überprüft den installierten Betriebssystemtyp, und wenn es Windows NT ist, gibt der Virus die Kontrolle an das Host-Programm zurück und führt keine anderen Aktionen aus. Der Virus führt seine Infektionsroutine nur aus, wenn er in Windows95 / 98 ausgeführt wird. Diese Routine sucht und infiziert alle ausführbaren Win32-Dateien im aktuellen Verzeichnis sowie in WINDOWS- und WINDOWSSYSTEM-Verzeichnissen. Beim Infizieren des Virus schreibt der Code seinen Code an das Ende des letzten Abschnitts, erhöht seine Größe und modifiziert die notwendigen PE-Header-Felder.

Aufgrund eines Fehlers beschädigt der Virus EXE-Dateien für den Fall, dass die letzte Abschnittsgröße mehr als 64 KB beträgt – der Virus schreibt seinen Code in die Dateimitte, und beschädigte Programme bleiben unbrauchbar und funktionieren nicht mehr.

Makro infizieren -> Makro, Makro -> EXE

In infizierten Dokumenten und Vorlagen enthält der Virus ein Makro AutoClose. Es wird beim Öffnen eines infizierten Dokuments in den globalen Word-Makrobereich installiert und infiziert andere Dokumente, die dann geschlossen werden. Um seinen Code von einem Dokument / einer Vorlage in ein anderes Dokument zu kopieren, verwendet der Virus Anweisungen zur Makrocode-Bearbeitung.

Um infizierte Windows EXE-Dateien auszuführen, verwendet der Virus den Standardweg. Die binären Daten der EXE-Datei werden in Virusmakros in Textstichen gespeichert – die binären EXE-Daten werden in ASCII-hexadezimale Speicherauszüge konvertiert. Der Virus speichert diese Daten auf der Festplatte, erstellt einen temporären DOS-BAT-Helfer und konvertiert mithilfe dieses Hilfsprogramms und des DOS-DEBUG-Dienstprogramms hexadezimale Speicherauszüge zurück in das binäre EXE-Format und führt sie aus. Die EXE-Komponente des Virus übernimmt die Kontrolle, es läuft und infiziert EXE-Dateien auf der Festplatte, wie oben beschrieben.

Die bekannte Version des Virus hat hier einen Fehler und kann keine EXE-Dateien von der Makro-Virus-Komponente erstellen. Daher bleiben Windows EXE-Dateien nicht infiziert.

EXE infizieren -> Makro

Die Routine, die die Makrokomponente aus infizierten EXE-Dateien in Word löscht, wird aktiviert, unmittelbar nachdem die Prozedur zum Durchsuchen und infizieren der EXE-Dateien abgeschlossen ist. Diese Routine ist komplexer als die oben beschriebenen und benötigt mehr temporäre Dateien, um den Virencode von EXE nach Word zu übertragen. Der Virus erstellt hier drei Hauptdateien:


FABI.SYS – "Pseudo" PE EXE-Datei, die Infektion durch EXE-Virus-Komponente erhält
FABI.SRC – der Quellviren-Makrocode plus FABI.SYS-Binärdaten
in hexadezimale ASCII-Zeichenfolgen konvertiert
NORMAL.DOT – Word-Vorlage mit einem kleinen Makro, das den Virus vervollständigt
Installation: importiert den Hauptviruscode von FABI.SRC nach
NORMAL.DOT

Um die Verbreitung von EXE zu Word zu starten, erstellt der Virus eine kurze PE EXE-Datei C: FABI.SYS und infiziert sie. Der Virus erstellt dann die C: FABI.SYS-Datei und schreibt seinen Makroprogramm-AutoClose-Quellcode dorthin. Dann hängt es an diese Datei die C: FABI.SYS-Datei Daten in hexadezimale ASCII-Zeilen konvertiert. Um diesen Schritt abzuschließen, erstellt der Virus eine speziell vorbereitete NORMAL.DOT-Datei. Der Virus sucht nach einem geeigneten Ort, um diese Datei in Verzeichnisse zu löschen:


C: ARQUIV ~ 1 / MICROS ~? / MODELOS
C: ARCHIV ~ 1 / MICROS ~? / MODELOS
C: PROGRA ~ 1 / MICROS ~? / TEMPLA ~ 1

woher '?' wird von 1 bis 9 gezählt. Die Datei NORMAL.DOT, die im ersten gefundenen Verzeichnis erstellt wird, enthält ein kurzes Makro AutoExec, das beim Starten von MS Word aktiviert wird. Dieses Makro importiert nur den Quellcode des Virenmakros aus der Datei C: FABI.SRC und schließt die Vireninstallation ab: Das Programm NORMAL.DOT ist jetzt mit vollständigem Virencode infiziert.


Link zum Original