DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Multi.Moridin

Kategorie Virus
Plattform Multi
Beschreibung

Technische Details

Dies ist ein Multi-Plattform-Virus, der Win32-Systeme infiziert. Der Virus infiziert ausführbare Win32-Dateien, MS Word-Dokumente und verbreitet sich per E-Mail über IRC-Kanäle und infiziert das lokale Netzwerk. Der Virus hat auch Backdoor- Fähigkeit.

Der Virus ist ungefähr 70K groß, und es gibt mehrere andere Komponenten darin eingebettet: Win32 EXE "Helfer" (zusätzliche Anwendung), Word-Vorlage, Word-Makro-Komponente Quelle, sowie mehrere Skript-Programme: VBS, mIRC, PIRCH und vIRC . Die EXE-Virenroutinen werden in Assembler geschrieben.

Das Virus kann in verschiedenen Formen gefunden werden:

– infizierte PE-EXE-Datei
– EXE-Helfer
– infizierte Word-Dokumente
– VBS-Skript
– IRC Beschützer

Beim Verbreiten per E-Mail über das Netzwerk und die IRC-Kanäle benennt der Wurm seine Kopien wie folgt: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE und INIT.EXE.

PE EXE-Viruskomponente – Infizierte PE-EXE-Dateien

PE EXE-Dateien infizieren

Beim Infizieren einer PE-EXE-Datei erhöht der Virus die Größe des letzten Dateiabschnitts, verschlüsselt sich selbst mit einer polymorphen Routine und schreibt sich hier selbst. Der polymorphe Code ist von durchschnittlicher Komplexität.

Um bei der Ausführung einer infizierten Datei die Kontrolle zu erlangen, patcht der Virus den Code für die Dateieingabe mit einem kurzen semi-polymorphen Code, der die Kontrolle sofort an eine polymorphe Entschlüsselungsschleife weiterleitet, wenn eine infizierte Datei ausgeführt wird.

Infizierte Datei ausgeführt

Wenn eine infizierte Datei ausgeführt wird, erhält der polymorphe Viruscode die Kontrolle, entschlüsselt den Hauptviruscode und überträgt die Kontrolle hier. Der Virus erstellt dann vier Dateien im Windows-Systemverzeichnis:

ADVAPI33.EXE (Hinweis: "33" nicht "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

Die ersten drei Dateien enthalten denselben Code – einen 60K-Virushelfer (siehe unten) – der eine PE-EXE-Datei ist und als typische Windows-Anwendung ausgeführt wird. Diese Dateien werden von anderen Viruskomponenten verwendet, um Word-Dokumente zu infizieren und den Virus über IRC-Kanäle und E-Mail zu verbreiten (siehe unten).

Die Pakete PACKED.EXE und MMSYSTEM.BIN werden dann vom Virus infiziert, genauso wie andere EXE-Dateien infiziert sind (siehe oben). Daher ist die Größe dieser Dateien auf bis zu 130 KByte (60 KByte Helfer plus 70 KByte vollständigen Viruscodes) erhöht, und der Code des Helfers ist hier doppelt vorhanden (der Helfer ist von einem Virus infiziert, in den ein anderer Helfer eingebettet ist) ).

Die Datei COMMDLG.VBS enthält VBScript, das den Virus über E-Mail-Nachrichten im Internet verbreitet.

Systemregistrierungsschlüssel

Der Virus ändert dann die Systemregistrierungsschlüssel. Es erstellt die folgenden Schlüssel:

1. HKEY_CLASSES_ROOTexefileshellopencommand
Standard = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Flags = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Pfad = "C:"
Bemerkung = ""
Geben Sie 0 ein

und löscht den folgenden Schlüssel:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

ändert die folgenden Schlüssel:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

Dabei ist% SystemDir% der Name des Windows-Systemverzeichnisses.

Die "1" bewirkt, dass das System den Virushelfer ausführt, wenn jede EXE-Datei ausgeführt wird (siehe unten). Die "2" aktiviert eine VBS-Komponente, die betroffene E-Mail beim Windows-Start sendet. Die "3" scheint ein Virus-ID-Stempel zu sein. Die "4" ermöglicht die automatische Verarbeitung der Datei AUTORUN.INF. Die "5" erlaubt es einer Backdoor-Komponente, Systemkennwörter zu erhalten (der Viruscode enthält dafür keine Routine, kann aber heruntergeladen und installiert werden, siehe unten). Die "6" ist ein weiterer Virus-ID-Stempel, der von der MS Word-Virus-Komponente verwendet wird, um genau das Verzeichnis zu finden, in dem sich andere Virus-Komponenten befinden.

Wenn sich der Virus nicht selbst im Windows-Systemverzeichnis installieren kann, werden die Dateien im temporären Windows-Verzeichnis abgelegt und es werden genau die gleichen Schlüssel mit Ausnahme von "3" erstellt / gelöscht / geändert.

Infektion usw.

Der Virus infiziert dann bis zu fünf EXE und bis zu fünf SRC-Dateien im aktuellen Verzeichnis. Der Virus verwendet die Masken "GOAT * .EXE" und "GOAT * .SCR", um die Dateien zu lokalisieren. Der Virus ist also ein "Recherche" -Virus und kann keine Dateien mit Standardnamen infizieren. Dieses "Feature" des Virus kann jedoch leicht vom Autor des Virus behoben werden, und der Virus infiziert PE-EXE-Dateien beliebigen Namens.

Trotz der Tatsache, dass diese Virus-Version nur GOAT * -Dateien infiziert, überprüft sie eine Datei auf einen Anti-Virus-Namen und überspringt die Infektion. Der Virus erkennt Antivirenprogramme nach den ersten vier Zeichen des Namens:

FSAV PAND INOC TBSC NAVS NAVX NAVX ADVA SCAN NOD3 DRW SPID AMON AVP3 AVPM

Der Virus infiziert auch WinZip-Self-Extraktoren nicht.

Der Virus löscht die folgenden Antiviren-Dateien:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Diese Virus-Komponente enthält die Texte:

– [W97-2K / Win32.Moridin 1.0] von Asmodeus iKX
Tia mi aven Moridin vadin
"Das Grab ist keine Bar für meinen Ruf"

Virenhelfer ausführen

Der Virushelfer wird bei jedem EXE-Dateilauf aktiviert (verursacht durch den Systemregistrierungsschlüssel "1", siehe oben). Als Befehlszeile erhält der Helper den EXE-Dateinamen, der voraussichtlich ausgeführt wird, und die Befehlszeile. Der Helper achtet sowohl auf den EXE-Dateinamen als auch auf die Befehlszeilenargumente.

Wenn einer der Clients mIRC, PIRCH oder vIRC ausgeführt wird, betrifft der Virus sie. Es erstellt eine Kopie im aktuellen Verzeichnis mit dem Namen CRACK.EXE und erstellt eine entsprechende Skriptdatei oder Dateien, die die infizierte CRACK.EXE-Datei an einen Benutzer senden. Die Datei tritt entweder in den IRC-Kanal ein (im Fall eines vIRC-Clients) oder sendet einen Text an den Kanal mit dem Wort "crack" darin (mIRC, PIRCH).

Vom Virus erstellte Skriptdateien:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

Falls ein Benutzer versucht, die Datei REGEDIT.EXE oder ein Antivirenprogramm auszuführen, beendet der Virus diese Anfrage einfach. Die Liste dieser Dateinamen lautet wie folgt:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Wenn eine Datei ausgeführt wird, die einem der drei "virus-file" -Namen entspricht: CRAC *, PACK *, MMSY * oder eine Datei mit dem Namen SETU *, beendet der Virus die Datei und zeigt eine falsche Fehlermeldung an:

WinZip Selbstextraktor
WinZip Self-Extractor Header beschädigt.
Mögliche Ursache: Fehler bei der Datenträger- oder Dateiübertragung

In der Instanz, in der die Befehlszeile einen Verweis auf eine .DOC-Datei enthält, hängt der Virus die Datei PACKED.EXE am Ende der Datei an. Dieser Zusatz wird später verwendet, um den Virus aus den betroffenen Word-Dokumenten zu verbreiten.

Der Virushelfer lässt auch zwei weitere Dateien für die Migration in die MS Word-Umgebung fallen:

NORMAL.DOT zu MS Word Vorlagen Verzeichnis
IMPMORI.DRV in Windows-Systemverzeichnis

Die Vorlage NORMAL.DOT enthält einen Virus "loader", der die vollständigen Virusmakros aus der Datei IMPMORI.DRV abruft.

Die Virenhelfer deaktivieren außerdem den Makrovirusschutz in der Systemregistrierung, suchen nach residenten Anti-Virus-Programmen und beenden sie:

AVP-Monitor
Amon Antivirus Monitor
Norton AntiVirus Auto-Protect-Testversion
Norton AntiVirus Auto-Protect

HTML-Seiten sind ebenfalls vom Virus betroffen. Wenn eine .HTM-Datei im aktuellen Verzeichnis gefunden wird, kopiert sich der Virus hier mit dem Namen SETUP.EXE und fügt einen "Download" -Link an die HTM-Datei an. Ein Klick auf diesen Link führt zu einem Standardfenster "Dateidownload".

Abhängig vom Zufallszähler setzt der Virushelfer auch die Datenträgerbezeichnung "W32Moridin" auf das aktuelle Laufwerk.

Ein Netzwerk infizieren

Die Virushelfer-Funktion ist noch nicht fertiggestellt, da sie den Virus auch über das lokale Netzwerk verbreitet, wenn freigegebene Laufwerke für den vollständigen Zugriff zur Verfügung stehen. Der Virushelfer listet sie auf und versucht sie auf zwei Arten zu beeinflussen.

1. Der Virus kopiert sich hier mit dem Namen NETX.EXE und erstellt hier die automatisch ausgeführte Datei AUTORUN.INF mit einem Befehl, der eine Viruskopie in der Datei NETX.EXE aktiviert.

2. Der Virus sucht nach dem Windows-Verzeichnis auf dem Laufwerk. Wenn es ein Verzeichnis mit einem "Windows" -ähnlichen Namen gibt, kopiert sich der Virus hier mit dem Namen INIT.EXE und registriert diese Kopie in der Datei WIN.INI im Autostart-Abschnitt.

Infizierte Remote-Maschinen

Zusätzlich zur Intranet-Infektion versucht der Virus auch, die Remote-Computer auf eine andere Weise zu infizieren. Der Virus überprüft, ob eine der unten aufgeführten Internetanwendungen ausgeführt wird:

GetRight Monitor
Microsoft Outlook
ICQMsgAPI-Fenster
WWW-Links
PIRCH98
Steckdosen Fenster

In diesem Fall erhält der Virus die IP-Adresse des Hosts (der Computer, mit dem der infizierte Computer verbunden ist) und durchsucht dann das Host-Subnetz (normalerweise das C-Klassen-Subnetz) nach NetBus-Hintertüren. Wenn ein Computer mit NetBus infiziert ist, sendet der Virus seine Kopie hier und zwingt NetBus, ihn auszuführen.

Hintertür Routine

Der Virus-Helfer hat auch eine eigene Backdoor-Routine mit nur vier implementierten Befehlen:

– öffnet und schließt CD-Tür
– lädt eine Datei herunter und erstellt sie
– beendet sich selbst (Backdoor-Routine)
– zeigt eine Nachricht an, die Überschrift des Nachrichtenfeldes enthält folgenden Text:

[W97-2K / Win32.Moridin 1.0] von Asmodeus iKX

Infizierte E-Mail

Der Virus nutzt zwei Mailsysteme, um sich zu verbreiten: MS Outlook und Pegasus. Die erste Methode wird in der VBS-Virus-Komponente und die zweite im MS Word-Virus-Makro-Programm realisiert.

MS Outlook

Um sich über E-Mail-Nachrichten zu verbreiten, stellt die Virusdatei COMMDLG.VBS eine Verbindung zu MS Outlook her, ruft alle Adressen aus dem Adressbuch ab und sendet ihre Kopie (die Datei PACKED.EXE) hier an die Nachricht angehängt. Die Nachricht hat ein zufällig ausgewähltes Subject, Body und Signatur:

Betreff: "Virus ALERT!"
Body: "Es gibt einen VBS-Wurm, der sich über E-Mails verbreitet, beschütze dich selbst!
Öffnen Sie keine Anlage namens FREE-SEX.VBS "

Betreff: "Utopia / Earth 2025 Tutorials"
Body: "Hi, schaut euch dieses Spiel an! Www.games.esite.com.
Ein paar Tutorials sind an die Nachricht angehängt "

Betreff: "So sehe ich aus :)"
Body: "Hier sind ein paar Bilder von mir, gefällt dir das? :)"

Die Signatur wird aus folgenden Varianten ausgewählt:

Grüße,
Mit freundlichen Grüßen,
Einen schönen Tag noch,

Es wird im Namen und im Namen des Computereigentümers vervollständigt. Der Virus bezieht diese Daten von der Systemregistrierung.

Die VBS-Datei des Virus wird bei jedem Windows-Neustart ausgeführt. Um doppelte Sendungen zu verhindern, erstellt der Virus den Registrierungsschlüssel:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

und beendet die E-Mail-Verteilungsroutine, wenn dieser Schlüssel bereits in der Registrierung vorhanden ist.

Pegasus

Die Makrokomponente im infizierten MS Word-Dokument sucht nach dem Pegasus-Mail-Client, der im System installiert ist. Der Virus wählt eine Adresse aus der Pegasus-Datenbank aus und sendet hier ein aktives Dokument. Die Nachricht hat einen der folgenden Texte:

Sieh dir das an!

BAAAAAAAM! Du wurdest gerade von einer Anhaftung getroffen, das ist der Krieg der Anhaftung! Hit jemanden, JETZT!

Infizieren von MS Word

Der Virus betrifft MS Word, das aus der Datei NORMAL.DOT ausgeführt wird (siehe oben). Ein kurzes Makroprogramm, das sich hier befindet, ruft das Hauptvirenmakro aus der IMPMORI.DRV-Datei im Windows-Systemverzeichnis ab und überträgt es an NORMAL.DOT.

Das Hauptvirusmakro enthält drei Routinen: Senden einer Virenkopie per E-Mail mit Pegasus (siehe oben); andere MS Word-Dokumente infizieren; Extrahieren und Erstellen einer PE EXE-Komponente aus dem Dokument.

MS Word-Dokumente sind infiziert, wenn sie von Word geöffnet werden. Der Virus kopiert einfach seinen Code hier und erstellt ADVAPI33.EXE mit dem Dokumentdateinamen in der Befehlszeile, wodurch der EXE-Viruscode an das Ende des Dokuments angehängt wird.

Um den EXE-Code aus dem Word-Dokument zu extrahieren, öffnet das Virus-Makro das Dokument als Binärdatei, geht an das Ende der Datei, liest die Virus-EXE-Komponente ein und speichert sie in einer Datei mit dem Namen W32MORI.EXE in Windows Verzeichnis und führt diese Datei aus. So erhält die EXE-Virus-Komponente die Kontrolle über das infizierte Word-Dokument.


Link zum Original