CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Multi.Cocaine

Classe Virus
Plateforme Multi
Description

Détails techniques

Ce sont les fichiers Windows PE parasites et MS Word modèles normaux infecteur avec la capacité de propagation d'email, environ 22 Ko de longueur. Le virus a trois instances: dans les fichiers Windows PE EXE, dans le modèle Word NORMAL et sous forme de fichier joint dans les messages électroniques.

Le code du virus dans les fichiers PE EXE infectés est son instance principale. Quand il est exécuté, le virus recherche les fichiers PE EXE dans les répertoires actuels et Windows et les infecte. Le virus dépose également le fichier NORMAL.DOT infecté dans le répertoire MS Word à partir de son instance PE EXE, ainsi que l'envoi d'e-mails infectés. L'instance de virus dans le modèle NORMAL à chaque fermeture de document supprime et exécute le fichier PE EXE infecté et n'est pas capable d'infecter d'autres documents et modèles. Le code du virus dans les e-mails apparaît sous la forme d'un fichier joint infecté PE EXE Fichier exécutable Windows avec un nom aléatoire ou un modèle NORMAL infecté.

Le virus est résident en mémoire par processus. Cela signifie que la copie du virus peut rester en mémoire longtemps avant que l'application infectée ne se termine. Dans le cas où seules les applications "à courte durée de vie" sont infectées, le code du virus ne se présente pas dans la mémoire du système pendant longtemps. Dans le cas où une application en utilisation permanente est infectée, le virus est actif pendant longtemps, accroît les fonctions de Windows, infecte les fichiers PE EXE qui ont accédé et envoie des messages électroniques.

Le virus est polymorphe dans les fichiers PE ainsi que dans le modèle Word NORMAL. Le virus a deux moteurs polymorphes dans son code EXE: le premier génère une boucle de décryptage polymorphe dans les fichiers PE EXE infectés, le second crée un programme de macro viral dans le polymorphisme NORMAL.DOT infecté.

Le virus a une routine de charge utile qui est exécutée lorsqu'un fichier infecté est exécuté dans quatre mois, il a été infecté. Cette routine affiche les boîtes de message qui ont l'en-tête "W32 / Wm.Cocaine" et le texte qui est sélectionné au hasard à partir de sept variantes:


Votre vie brûle plus vite, obéis à ton maître …
Hachez votre petit-déjeuner sur un miroir …
Des veines qui pompent de peur, qui aspirent le plus clair …
Goûtez-moi, vous verrez, plus est tout ce dont vous avez besoin …
Je vais occuper, je vais vous aider à mourir …
Je vais te traverser, maintenant je te gouverne aussi …
Maître des marionnettes, je tire vos ficelles …

Le virus fait attention aux programmes anti-virus et essaie de les désactiver. Chaque fois qu'un fichier infecté est exécuté et qu'un virus installe sa copie résidente par processus, il recherche les fichiers de données antivirus dans le répertoire en cours et les supprime. Les noms de ces fichiers ressemblent à ceci: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN et d'autres données anti-virus des dossiers). Le virus localise et termine également l'ancienne version du scanner sur accès d'AVP Monitor.

La version de virus connue comporte des bogues et ne peut pas se propager de l'instance de macro Word à l'exécutable Windows. Il a également un bogue dans la routine d'infection PE EXE et corrompt certains fichiers exécutables WinNT.

Le virus a un texte "copyright":


(c) Vecna

Certaines routines de virus (en particulier macro) sont liées au virus multiplateforme "Fabi" , et certains fichiers infectés peuvent être détectés par le nom de ce virus.

Détails techniques

Le virus a une taille assez grande pour un programme écrit en assembleur – environ 22Kb, et a beaucoup de routines qui sont assez intéressantes du point de vue technique.

EXE exécuté

Lorsqu'un fichier infecté prend le contrôle, les boucles de décryptage polymorphes sont exécutées. Ils déchiffrent le code du virus couche par couche (le virus est chiffré par plusieurs boucles – de deux à cinq) et transmettent le contrôle à la routine d'installation du virus. Il est nécessaire de noter que plusieurs blocs de virus restent encore cryptés. Le virus décrypte et y accède en cas de besoin, puis crypte en retour. Ces blocs sont des données et des routines d'infection MS Word ainsi qu'un moteur polymorphe PE EXE.

La routine d'installation de virus recherche les adresses de fonctions de l'API Windows nécessaires qui seront utilisées ultérieurement par le virus. La liste de ces fonctions est assez longue, cela est dû à la liste des choses que le virus fait pour se propager. La liste des fonctions que le virus cherche est ci-dessous:


Exporté par la liste des fonctions
———– ————–
KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA
CreateFileA WinExec FermerHandle LoadLibraryA FreeLibrary
CreateFileMappingA MapViewOfFile UnmapViewOfFile
FindFirstFileA FindNextFileA FindClose SetEndOfFile
VirtualAlloc VirtualFree GetSystemTime
GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime
ExitProcess GetCurrentProcess WriteProcessMemory WriteFile
DeleteFileA Sleep CreateThread GetFileSize SetFilePointer
USER32.DLL: MessageBoxA FindWindowA PostMessageA
ADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA
RegQueryValueExA RegCloseKey
MAPI32.DLL: MAPISendMail

Le virus obtient les adresses de ces fonctions par l'astuce du virus Windows standard: il localise l'image sur KERNEL32.DLL dans la mémoire de Windows, analyse sa table Export et obtient les adresses de deux fonctions: GetModuleHandle et GetProcAddress. En utilisant ces deux fonctions, le virus est alors capable de localiser facilement toutes les adresses des autres fonctions nécessaires. La caractéristique la plus intéressante de cette routine est le fait que c'est le premier virus qui traite non seulement les adresses Win95 / 98 et WinNT lors de la recherche de l'image KERNEL32.DLL, mais fait également attention aux adresses Win2000.

Le virus localise et infecte MS Word, puis recherche les fichiers PE EXE et les infecte, puis accède à un ensemble d'événements système (accès aux fichiers et aux courriels) utilisés pour localiser et infecter d'autres fichiers, ainsi que pour diffuser des virus. Internet dans les courriels joints.

Infecter MS Word

La toute première routine d'infection qui est activée par le virus est MS Word affectant la routine, si elle est installée dans le système. Tout d'abord, le virus vérifie la présence de fichier C: ANCEV.SYS.

Le fichier C: ANCEV.SYS ("ANCEV" = "VECNA" écrit en arrière) a un but spécial. Ce fichier est créé lorsque la routine d'infection de modèle MS Word est terminée. Ainsi, cette présence de fichier signifie que MS Word a été localisé et que le modèle NORMAL.DOT a été infecté. Dans ce cas, le virus lors de l'envoi des emails envoie le modèle NORMAL.DOT mais pas le dropper EXE infecté.

Ainsi, le virus vérifie ce fichier tout en haut de la routine d'infection MS Word. S'il n'existe pas, le virus continue l'infection. Si ce fichier trouvé, le virus au hasard dans un cas de dix continue l'infection, et dans neuf cas de dix feuilles routine d'infection. Tha signifie que dans un cas sur dix, le fichier MS Word NORMAL.DOT sera de nouveau infecté.

Le virus désactive ensuite la protection Word VirusWarning en modifiant les clés du registre système où Word stocke ses paramètres:


SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection

Le virus obtient ensuite le répertoire des modèles Word en lisant le registre du système:


LOGICIELMicrosoftOffice8.0CommonFileNewLocalTemplates

et supprime les modèles NORMAL.DOT dans là, puis crée un nouveau fichier infecté par le fichier modèle NORMAL.DOT. Le fichier NORMAL.DOT infecté contient une petite macro à l'intérieur. Cette macro a un nom automatique "AutoExec", elle sera automatiquement exécutée au prochain démarrage de Word et importera la macro principale du virus à partir du fichier C: COCAINE.SYS.

Le fichier C: COCAINE.SYS est créé par le virus juste après l'écrasement du modèle NORMAL.DOT. Ce fichier SYS est un fichier texte contenant le code source du programme VBA. Cette source est extraite par le virus à partir de son code, mélangée avec des instructions VBA indésirables (polymorphes) et ajoutée par un compte-gouttes PE EXE infecté converti en chaînes ASCII.

Ainsi, la routine d'infection MS Word fait son travail en deux étapes. Tout d'abord le virus remplace le fichier NORMAL.DOT original par un nouveau qui contient le programme de macro "AutoExec" (loader) qui importe le code de virus complet du fichier C: COCAINE.SYS, et se termine par ce code viral de portage du fichier PE EXE au modèle MS Word.

De Word à EXE

Pour supprimer le fichier PE EXE de son instance de modèle Word, le virus utilise l'astuce des macro-virus standard. Il crée deux fichiers: le premier est le fichier C: COCAINE.SRC avec l'image de fichier PE EXE infectée convertie en forme ASCII, et le second fichier est un lot DOS avec un nom aléatoire. Ce fichier de commandes contient un ensemble d'instructions qui exécutent l'utilitaire DOS DEBUG qui convertit le vidage ASCII en formulaire EXE binaire PE et l'exécute.

Ainsi, le virus saute à Windows hors du modèle Word infecté.

Infecter les fichiers PE EXE

Lorsque MS Word est affecté, le virus va à la routine d'infection fichiers PE EXE. Le virus recherche les fichiers PE EXE dans les répertoires actuels et Windows et les infecte. Les seuls fichiers infectés ont des extensions de fichier .EXE ou .SCR.

Le virus recherche ensuite le navigateur et l'expéditeur installés et les infecte également. Le virus les localise par les clés de registre système dans le stockage HKEY_LOCAL_MACHINE:


SOFTWAREClasseshtmlfileshellopencommand
SOFTWAREClassesmailtoshellopencommand

Le virus a besoin que ces fichiers soient infectés pour activer ses routines d'infection Internet. Lorsque ces applications accédant à Internet sont infectées, la copie de virus est active dans la mémoire pendant une longue période exactement au moment où un utilisateur est connecté à Internet. Ceci est nécessaire au virus pour réaliser sa capacité d'épandage sur Internet.

Mécanisme d'infection PE EXE

Le virus vérifie plusieurs conditions avant d'infecter le fichier. 1er: la longueur du fichier ne doit pas être divisible par 101 (c'est une protection antivirus pour éviter les infections multiples, les fichiers PE EXE déjà infectés ont une telle longueur). 2ème: lorsque le virus cherche des fichiers EXE dans les répertoires courant et Windows pour les infecter, le nom du fichier ne peut contenir ni lettre ni chiffres, ici le virus évite les antivirus les plus populaires et l'infection des "chèvres".

Si la première section a une taille assez grande (plus de 2304 octets), le virus y écrit plusieurs blocs de code indésirable qui passent le contrôle bloc par bloc aux principales boucles de décryptage de virus. Huit blocs sont écrits dans des fichiers lorsque le virus les infecte:


+ ———— +
| |
| En-tête de PE | ————— +
| ———— | |
| + —– + <- + | |
| | Junk2 | || |
| + —– + – + || Point d'entrée |
| + —– + ||| <————— +
|| Junk1 | |||
| + —– + —- + |
| | |
| + —– + <- + |
|| Junk3 | |
| + —– + —- + |
| V |
| . . . |
| + —– + |
| + —- | Junk8 ||
|| + —– + |
| V |
| ———— |
Code de virus |
| |
+ ———— +

Dans ce cas, le virus ne modifie pas l'adresse du point d'entrée du programme, mais il doit restaurer tous les blocs remplacés du fichier hôte avant de renvoyer le contrôle à la procédure d'entrée d'origine.

Si la première section est courte, le contrôle va directement au code du virus. Dans ce cas, le virus modifie l'adresse d'entrée du programme pour obtenir le contrôle lors de l'exécution des fichiers infectés.

Le code du virus est lui-même chiffré par plusieurs boucles polymorphes (de deux à cinq). Le moteur polymorphique du virus est assez fort et produit environ 2 kb de boucles polymorphes.

Le virus corrige également la section Import pour obtenir les fonctions GetProcAddress, GetModuleHandle, CreateProcessA, WinExec et MAPISendMail lorsque l'exécutable de l'infection est exécuté.

Après tout le virus écrit son code crypté à la fin de la dernière section de fichier, et augmente la taille de la section en patchant l'en-tête PE.

Intercepter des événements

Lorsque les routines d'infection directe Word et PE EXE sont terminées, le virus croise plusieurs fonctions Windows et reste dans la mémoire Windows dans le cadre du programme hôte. Le virus croise deux fonctions d'accès aux fichiers WinExec et CreateProcessA, si elles sont importées par le programme hôte à partir de KERNEL32.DLL. Lorsque ces fonctions obtiennent le contrôle (un programme est exécuté), le virus obtient le nom du fichier du programme, obtient son répertoire, recherche et infecte les fichiers PE EXE dans ce répertoire.

Envoyer des emails

Le code résident de virus par processus exécute également le thread d'infection de messagerie, crochets MAPISendMail qui est exporté à partir de MAPI32.DLL, «se connectent» et «recv» à partir de WSOCK32.DLL et GetProcAddress à partir de KERNEL32.DLL.

Le premier crochet est utilisé par le virus pour envoyer sa copie à Internet. Lorsque le virus intercepte cet événement, il recherche les données jointes dans le message. S'il n'y a pas d'attachement, le virus ajoute le fichier infecté NORMAL.DOT ou le fichier PE EXE infecté (ce dernier est créé sur le disque dans le fichier C: ENIACOC.SYS).

Les hooks "GetProcAddress", "connect" et "recv" sont utilisés par le virus pour réaliser la deuxième méthode d'envoi de courriels infectés. Quand un message arrive, le virus scanne son en-tête pour le champ "mailto:", récupère l'adresse à partir de là et la stocke dans sa propre base de données.

Le thread d'infection lorsqu'il prend le contrôle recherche l'adresse email capturée par les hookers "connect" et "recv", calcule son CRC et compare avec sa base de données "déjà infectées" stockée dans le fichier BRSCBC.DAT dans le répertoire système de Windows. Si cette adresse n'a pas encore été envoyée, le virus l'ajoute à sa base de données BRSCBC.DAT, crée un message avec un modèle NORMAL ou un fichier PE EXE infecté et l'envoie à l'aide de la fonction MAPISendMail. Le champ objet du message est sélectionné au hasard parmi les variantes:


Kewl page!
Amélioration de votre page
Votre page r0x0r!
Vous devez voir ça …
Des trucs secrets!

En utilisant la base de données BRSCBC.DAT le virus évite les envois en double, mais sur chaque programme infecté exécuter le virus en fonction de son compteur aléatoire supprime ce fichier, et efface la base de données "ne pas envoyer" par cela.

Le "GetProcAddress" qui est également accroché par la copie du virus TSR est utilisé uniquement pour intercepter "connect" et "recv" WSOCK32.DLL fonctions, si une application ne pas importer ces routines "par défaut", mais les active en cas de besoin. Pour ce faire, le crochet "GetProcAddress" du virus intercepte les accès aux adresses "connect" et "recv" des fonctions WSOCK32.DLL. Si une application essaie d'obtenir des adresses de ces routines pour utiliser des connexions Internet, le virus renvoie les adresses de ses propres hookers "connect" et "recv", et donc intercepte la connexion Internet.


Lien vers l'original