Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Virus
Les virus se répliquent sur les ressources de la machine locale. Contrairement aux vers, les virus n'utilisent pas les services réseau pour propager ou pénétrer d'autres ordinateurs. Une copie d'un virus n'atteindra les ordinateurs distants que si l'objet infecté est, pour une raison quelconque non liée à la fonction virale, activé sur un autre ordinateur. Par exemple: lors de l'infection de disques accessibles, un virus pénètre dans un fichier situé sur une ressource réseau un virus se copie sur un périphérique de stockage amovible ou infecte un fichier sur un périphérique amovible un utilisateur envoie un courrier électronique avec une pièce jointe infectée.Plus d'informations
Plateforme: Multi
No platform descriptionDescription
Détails techniques
Ce sont les fichiers Windows PE parasites et MS Word modèles normaux infecteur avec la capacité de propagation d'email, environ 22 Ko de longueur. Le virus a trois instances: dans les fichiers Windows PE EXE, dans le modèle Word NORMAL et sous forme de fichier joint dans les messages électroniques.
Le code du virus dans les fichiers PE EXE infectés est son instance principale. Quand il est exécuté, le virus recherche les fichiers PE EXE dans les répertoires actuels et Windows et les infecte. Le virus dépose également le fichier NORMAL.DOT infecté dans le répertoire MS Word à partir de son instance PE EXE, ainsi que l'envoi d'e-mails infectés. L'instance de virus dans le modèle NORMAL à chaque fermeture de document supprime et exécute le fichier PE EXE infecté et n'est pas capable d'infecter d'autres documents et modèles. Le code du virus dans les e-mails apparaît sous la forme d'un fichier joint infecté PE EXE Fichier exécutable Windows avec un nom aléatoire ou un modèle NORMAL infecté.
Le virus est résident en mémoire par processus. Cela signifie que la copie du virus peut rester en mémoire longtemps avant que l'application infectée ne se termine. Dans le cas où seules les applications "à courte durée de vie" sont infectées, le code du virus ne se présente pas dans la mémoire du système pendant longtemps. Dans le cas où une application en utilisation permanente est infectée, le virus est actif pendant longtemps, accroît les fonctions de Windows, infecte les fichiers PE EXE qui ont accédé et envoie des messages électroniques.
Le virus est polymorphe dans les fichiers PE ainsi que dans le modèle Word NORMAL. Le virus a deux moteurs polymorphes dans son code EXE: le premier génère une boucle de décryptage polymorphe dans les fichiers PE EXE infectés, le second crée un programme de macro viral dans le polymorphisme NORMAL.DOT infecté.
Le virus a une routine de charge utile qui est exécutée lorsqu'un fichier infecté est exécuté dans quatre mois, il a été infecté. Cette routine affiche les boîtes de message qui ont l'en-tête "W32 / Wm.Cocaine" et le texte qui est sélectionné au hasard à partir de sept variantes:
Votre vie brûle plus vite, obéis à ton maître ...Hachez votre petit-déjeuner sur un miroir ...Des veines qui pompent de peur, qui aspirent le plus clair ...Goûtez-moi, vous verrez, plus est tout ce dont vous avez besoin ...Je vais occuper, je vais vous aider à mourir ...Je vais te traverser, maintenant je te gouverne aussi ...Maître des marionnettes, je tire vos ficelles ...
Le virus fait attention aux programmes anti-virus et essaie de les désactiver. Chaque fois qu'un fichier infecté est exécuté et qu'un virus installe sa copie résidente par processus, il recherche les fichiers de données antivirus dans le répertoire en cours et les supprime. Les noms de ces fichiers ressemblent à ceci: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN et d'autres données anti-virus des dossiers). Le virus localise et termine également l'ancienne version du scanner sur accès d'AVP Monitor.
La version de virus connue comporte des bogues et ne peut pas se propager de l'instance de macro Word à l'exécutable Windows. Il a également un bogue dans la routine d'infection PE EXE et corrompt certains fichiers exécutables WinNT.
Le virus a un texte "copyright":
(c) Vecna
Certaines routines de virus (en particulier macro) sont liées au virus multiplateforme "Fabi" , et certains fichiers infectés peuvent être détectés par le nom de ce virus.
Détails techniques
Le virus a une taille assez grande pour un programme écrit en assembleur - environ 22Kb, et a beaucoup de routines qui sont assez intéressantes du point de vue technique.
EXE exécuté
Lorsqu'un fichier infecté prend le contrôle, les boucles de décryptage polymorphes sont exécutées. Ils déchiffrent le code du virus couche par couche (le virus est chiffré par plusieurs boucles - de deux à cinq) et transmettent le contrôle à la routine d'installation du virus. Il est nécessaire de noter que plusieurs blocs de virus restent encore cryptés. Le virus décrypte et y accède en cas de besoin, puis crypte en retour. Ces blocs sont des données et des routines d'infection MS Word ainsi qu'un moteur polymorphe PE EXE.
La routine d'installation de virus recherche les adresses de fonctions de l'API Windows nécessaires qui seront utilisées ultérieurement par le virus. La liste de ces fonctions est assez longue, cela est dû à la liste des choses que le virus fait pour se propager. La liste des fonctions que le virus cherche est ci-dessous:
Exporté par la liste des fonctions----------- --------------KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA CreateFileA WinExec FermerHandle LoadLibraryA FreeLibrary CreateFileMappingA MapViewOfFile UnmapViewOfFile FindFirstFileA FindNextFileA FindClose SetEndOfFile VirtualAlloc VirtualFree GetSystemTime GetWindowsDirectoryA GetSystemDirectoryA GetCurrentDirectoryA SetFileAttributesA SetFileTime ExitProcess GetCurrentProcess WriteProcessMemory WriteFile DeleteFileA Sleep CreateThread GetFileSize SetFilePointerUSER32.DLL: MessageBoxA FindWindowA PostMessageAADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA RegQueryValueExA RegCloseKeyMAPI32.DLL: MAPISendMail
Le virus obtient les adresses de ces fonctions par l'astuce du virus Windows standard: il localise l'image sur KERNEL32.DLL dans la mémoire de Windows, analyse sa table Export et obtient les adresses de deux fonctions: GetModuleHandle et GetProcAddress. En utilisant ces deux fonctions, le virus est alors capable de localiser facilement toutes les adresses des autres fonctions nécessaires. La caractéristique la plus intéressante de cette routine est le fait que c'est le premier virus qui traite non seulement les adresses Win95 / 98 et WinNT lors de la recherche de l'image KERNEL32.DLL, mais fait également attention aux adresses Win2000.
Le virus localise et infecte MS Word, puis recherche les fichiers PE EXE et les infecte, puis accède à un ensemble d'événements système (accès aux fichiers et aux courriels) utilisés pour localiser et infecter d'autres fichiers, ainsi que pour diffuser des virus. Internet dans les courriels joints.
Infecter MS Word
La toute première routine d'infection qui est activée par le virus est MS Word affectant la routine, si elle est installée dans le système. Tout d'abord, le virus vérifie la présence de fichier C: ANCEV.SYS.
Le fichier C: ANCEV.SYS ("ANCEV" = "VECNA" écrit en arrière) a un but spécial. Ce fichier est créé lorsque la routine d'infection de modèle MS Word est terminée. Ainsi, cette présence de fichier signifie que MS Word a été localisé et que le modèle NORMAL.DOT a été infecté. Dans ce cas, le virus lors de l'envoi des emails envoie le modèle NORMAL.DOT mais pas le dropper EXE infecté.
Ainsi, le virus vérifie ce fichier tout en haut de la routine d'infection MS Word. S'il n'existe pas, le virus continue l'infection. Si ce fichier trouvé, le virus au hasard dans un cas de dix continue l'infection, et dans neuf cas de dix feuilles routine d'infection. Tha signifie que dans un cas sur dix, le fichier MS Word NORMAL.DOT sera de nouveau infecté.
Le virus désactive ensuite la protection Word VirusWarning en modifiant les clés du registre système où Word stocke ses paramètres:
SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection
Le virus obtient ensuite le répertoire des modèles Word en lisant le registre du système:
LOGICIELMicrosoftOffice8.0CommonFileNewLocalTemplates
et supprime les modèles NORMAL.DOT dans là, puis crée un nouveau fichier infecté par le fichier modèle NORMAL.DOT. Le fichier NORMAL.DOT infecté contient une petite macro à l'intérieur. Cette macro a un nom automatique "AutoExec", elle sera automatiquement exécutée au prochain démarrage de Word et importera la macro principale du virus à partir du fichier C: COCAINE.SYS.
Le fichier C: COCAINE.SYS est créé par le virus juste après l'écrasement du modèle NORMAL.DOT. Ce fichier SYS est un fichier texte contenant le code source du programme VBA. Cette source est extraite par le virus à partir de son code, mélangée avec des instructions VBA indésirables (polymorphes) et ajoutée par un compte-gouttes PE EXE infecté converti en chaînes ASCII.
Ainsi, la routine d'infection MS Word fait son travail en deux étapes. Tout d'abord le virus remplace le fichier NORMAL.DOT original par un nouveau qui contient le programme de macro "AutoExec" (loader) qui importe le code de virus complet du fichier C: COCAINE.SYS, et se termine par ce code viral de portage du fichier PE EXE au modèle MS Word.
De Word à EXE
Pour supprimer le fichier PE EXE de son instance de modèle Word, le virus utilise l'astuce des macro-virus standard. Il crée deux fichiers: le premier est le fichier C: COCAINE.SRC avec l'image de fichier PE EXE infectée convertie en forme ASCII, et le second fichier est un lot DOS avec un nom aléatoire. Ce fichier de commandes contient un ensemble d'instructions qui exécutent l'utilitaire DOS DEBUG qui convertit le vidage ASCII en formulaire EXE binaire PE et l'exécute.
Ainsi, le virus saute à Windows hors du modèle Word infecté.
Infecter les fichiers PE EXE
Lorsque MS Word est affecté, le virus va à la routine d'infection fichiers PE EXE. Le virus recherche les fichiers PE EXE dans les répertoires actuels et Windows et les infecte. Les seuls fichiers infectés ont des extensions de fichier .EXE ou .SCR.
Le virus recherche ensuite le navigateur et l'expéditeur installés et les infecte également. Le virus les localise par les clés de registre système dans le stockage HKEY_LOCAL_MACHINE:
SOFTWAREClasseshtmlfileshellopencommandSOFTWAREClassesmailtoshellopencommand
Le virus a besoin que ces fichiers soient infectés pour activer ses routines d'infection Internet. Lorsque ces applications accédant à Internet sont infectées, la copie de virus est active dans la mémoire pendant une longue période exactement au moment où un utilisateur est connecté à Internet. Ceci est nécessaire au virus pour réaliser sa capacité d'épandage sur Internet.
Mécanisme d'infection PE EXE
Le virus vérifie plusieurs conditions avant d'infecter le fichier. 1er: la longueur du fichier ne doit pas être divisible par 101 (c'est une protection antivirus pour éviter les infections multiples, les fichiers PE EXE déjà infectés ont une telle longueur). 2ème: lorsque le virus cherche des fichiers EXE dans les répertoires courant et Windows pour les infecter, le nom du fichier ne peut contenir ni lettre ni chiffres, ici le virus évite les antivirus les plus populaires et l'infection des "chèvres".
Si la première section a une taille assez grande (plus de 2304 octets), le virus y écrit plusieurs blocs de code indésirable qui passent le contrôle bloc par bloc aux principales boucles de décryptage de virus. Huit blocs sont écrits dans des fichiers lorsque le virus les infecte:
+ ------------ +| || En-tête de PE | --------------- +| ------------ | || + ----- + <- + | || | Junk2 | || || + ----- + - + || Point d'entrée || + ----- + ||| <--------------- +|| Junk1 | |||| + ----- + ---- + || | || + ----- + <- + ||| Junk3 | || + ----- + ---- + || V || . . . || + ----- + || + ---- | Junk8 |||| + ----- + || V || ------------ |Code de virus || |+ ------------ +
Dans ce cas, le virus ne modifie pas l'adresse du point d'entrée du programme, mais il doit restaurer tous les blocs remplacés du fichier hôte avant de renvoyer le contrôle à la procédure d'entrée d'origine.
Si la première section est courte, le contrôle va directement au code du virus. Dans ce cas, le virus modifie l'adresse d'entrée du programme pour obtenir le contrôle lors de l'exécution des fichiers infectés.
Le code du virus est lui-même chiffré par plusieurs boucles polymorphes (de deux à cinq). Le moteur polymorphique du virus est assez fort et produit environ 2 kb de boucles polymorphes.
Le virus corrige également la section Import pour obtenir les fonctions GetProcAddress, GetModuleHandle, CreateProcessA, WinExec et MAPISendMail lorsque l'exécutable de l'infection est exécuté.
Après tout le virus écrit son code crypté à la fin de la dernière section de fichier, et augmente la taille de la section en patchant l'en-tête PE.
Intercepter des événements
Lorsque les routines d'infection directe Word et PE EXE sont terminées, le virus croise plusieurs fonctions Windows et reste dans la mémoire Windows dans le cadre du programme hôte. Le virus croise deux fonctions d'accès aux fichiers WinExec et CreateProcessA, si elles sont importées par le programme hôte à partir de KERNEL32.DLL. Lorsque ces fonctions obtiennent le contrôle (un programme est exécuté), le virus obtient le nom du fichier du programme, obtient son répertoire, recherche et infecte les fichiers PE EXE dans ce répertoire.
Envoyer des emails
Le code résident de virus par processus exécute également le thread d'infection de messagerie, crochets MAPISendMail qui est exporté à partir de MAPI32.DLL, «se connectent» et «recv» à partir de WSOCK32.DLL et GetProcAddress à partir de KERNEL32.DLL.
Le premier crochet est utilisé par le virus pour envoyer sa copie à Internet. Lorsque le virus intercepte cet événement, il recherche les données jointes dans le message. S'il n'y a pas d'attachement, le virus ajoute le fichier infecté NORMAL.DOT ou le fichier PE EXE infecté (ce dernier est créé sur le disque dans le fichier C: ENIACOC.SYS).
Les hooks "GetProcAddress", "connect" et "recv" sont utilisés par le virus pour réaliser la deuxième méthode d'envoi de courriels infectés. Quand un message arrive, le virus scanne son en-tête pour le champ "mailto:", récupère l'adresse à partir de là et la stocke dans sa propre base de données.
Le thread d'infection lorsqu'il prend le contrôle recherche l'adresse email capturée par les hookers "connect" et "recv", calcule son CRC et compare avec sa base de données "déjà infectées" stockée dans le fichier BRSCBC.DAT dans le répertoire système de Windows. Si cette adresse n'a pas encore été envoyée, le virus l'ajoute à sa base de données BRSCBC.DAT, crée un message avec un modèle NORMAL ou un fichier PE EXE infecté et l'envoie à l'aide de la fonction MAPISendMail. Le champ objet du message est sélectionné au hasard parmi les variantes:
Kewl page!Amélioration de votre pageVotre page r0x0r!Vous devez voir ça ...Des trucs secrets!
En utilisant la base de données BRSCBC.DAT le virus évite les envois en double, mais sur chaque programme infecté exécuter le virus en fonction de son compteur aléatoire supprime ce fichier, et efface la base de données "ne pas envoyer" par cela.
Le "GetProcAddress" qui est également accroché par la copie du virus TSR est utilisé uniquement pour intercepter "connect" et "recv" WSOCK32.DLL fonctions, si une application ne pas importer ces routines "par défaut", mais les active en cas de besoin. Pour ce faire, le crochet "GetProcAddress" du virus intercepte les accès aux adresses "connect" et "recv" des fonctions WSOCK32.DLL. Si une application essaie d'obtenir des adresses de ces routines pour utiliser des connexions Internet, le virus renvoie les adresses de ses propres hookers "connect" et "recv", et donc intercepte la connexion Internet.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com