Virus.SWScript.LFM

Technische Details

Text geschrieben von Costin Raiu, Kasperskys, Rumänien

Dies ist der erste Virus, der Macromedia Shockwave-Dateien (.SWF) infiziert, die häufig für verschiedene Arten von Animationen im World Wide Web verwendet werden. zum Beispiel in animierten E-Cards oder E-Greetings. Der Virus funktioniert nicht, wenn eine infizierte Shockwave .SWF-Datei in das Player-Plugin geladen wird, das mit den meisten neueren Versionen des Netscape- und des Internet Explorer-Browsers ausgeliefert wird. Es wird nur ausgeführt und repliziert, wenn der Benutzer die infizierte Animation manuell in den Shockwave lädt Flash Player-Anwendung, die die Gefahr durch den Virus für die meisten Computerbenutzer stark begrenzt. Zu dieser Zeit gab es keine Berichte über dieses Virus "in-the-wild", und wir erwarten nicht, dass es jemals weit verbreitet wird.

Technische Details

Der Virus nutzt die Skriptsprache, die in Shockwave-Animationen zur Verfügung steht – er wird selbst als Shockwave-Skript gespeichert, das eine DOS-COM-Datei mit dem Namen "V.COM", die 926 Byte lang ist, ablegt. Die ausführbare DOS-Datei wird über ein Standard-DEBUG-Skript auf die Festplatte abgelegt. Dies funktioniert jedoch nur auf Windows NT-, 2000- und XP-Systemen, da das Dropper-Skript versucht, den Befehlszeilen-Präprozessor als "cmd.exe" aufzurufen Win9X / ME-Installationen. Wenn es ausgeführt wird, sucht das V.COM-Programm nach allen * .SWF-Dateien im aktuellen Verzeichnis, vergewissert sich, dass sie nicht schreibgeschützt, versteckt oder System sind, damit sie beschrieben werden können und versucht, sie zu infizieren. Zuerst wird geprüft, ob sie die Standard-Signatur "FWSx99" haben, und wenn dies der Fall ist, wird der Virus einen neuen Shockwave-Skript-Dropper erstellen, ähnlich dem, der ursprünglich zum Löschen der ausführbaren Datei "V.COM" verwendet wurde. Der Shockwave-Skript-Dropper wird in einem dynamisch zugewiesenen Speicher erstellt und am Anfang der Shockwave-Zieldatei geschrieben.