Virus.Multi.Moridin

Détails techniques

Ceci est un virus multi-plateforme infectant les systèmes Win32. Le virus infecte les fichiers exécutables Win32, les documents MS Word et se propage par courrier électronique via les canaux IRC, tout en infectant le réseau local. Le virus a également la capacité Backdoor .

Le virus a une taille d'environ 70 Ko et plusieurs autres composants sont intégrés: Win32 EXE "helper" (application supplémentaire), Word, source de composants Macro Word, ainsi que plusieurs programmes de script: VBS, mIRC, PIRCH et vIRC . Les routines de virus EXE sont écrites dans Assembler.

Le virus peut être trouvé sous plusieurs formes:

– fichier PE EXE infecté
– Assistant EXE
– Documents Word infectés
– Script VBS
– IRC sctiprs

Lors de la diffusion par courrier électronique via le réseau et les canaux IRC, le ver nomme ses copies comme suit: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE et INIT.EXE.

Fichiers PE EXE Virus – Infected PE EXE

Infecter les fichiers PE EXE

En infectant un fichier PE EXE, le virus augmente la taille de la dernière section du fichier, se crypte avec une routine polymorphe et écrit ici. Le code polymorphe est de complexité moyenne.

Pour prendre le contrôle lors de l'exécution d'un fichier infecté, le virus corrige le code d'entrée du fichier avec un court code semi-polymorphique qui transmet immédiatement le contrôle à une boucle de décryptage polymorphe lorsqu'un fichier infecté est exécuté.

Fichier infecté exécuté

Lorsqu'un fichier infecté est exécuté, le code polymorphe du virus prend le contrôle, déchiffre le code du virus principal et transfère le contrôle ici. Le virus crée ensuite quatre fichiers dans le répertoire système Windows:

ADVAPI33.EXE (note: "33" pas "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

les trois premiers fichiers contiennent le même code – un assistant de virus 60K (voir ci-dessous) – qui est un fichier PE EXE et est exécuté comme une application Windows typique. Ces fichiers sont utilisés par d'autres composants viraux pour infecter des documents Word, ainsi que pour propager le virus via des canaux IRC et des e-mails (voir ci-dessous).

Le PACKED.EXE et MMSYSTEM.BIN sont ensuite infectés par le virus de la même manière que les autres fichiers EXE sont infectés (voir ci-dessus). En conséquence, la taille de ces fichiers est augmentée jusqu'à 130K (60K d'aide plus 70K de code de virus complet), et le code de l'assistant est dupliqué ici (l'assistant est infecté par un virus qui a une autre aide intégrée) ).

Le fichier COMMDLG.VBS contient VBScript qui propage le virus sur Internet via des messages électroniques.

Clés du registre système

Le virus modifie ensuite les clés de registre du système. Il crée les clés suivantes:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Drapeaux = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Chemin = "C:"
Remarque = ""
Type = 0

et supprime la clé suivante:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

modifie les clés suivantes:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

où% SystemDir% est le nom du répertoire système Windows.

Le "1" oblige le système à exécuter l'assistant de virus lorsque chaque fichier EXE est exécuté (voir ci-dessous). Le "2" active un composant VBS qui envoie un courrier électronique affecté au démarrage de Windows. Le "3" semble être un cachet d'identification de virus. Le "4" active le traitement automatique du fichier AUTORUN.INF. Le "5" permet à un composant de porte dérobée d'obtenir des mots de passe système (le code de virus ne contient pas de routine pour cela, mais il peut être téléchargé et installé, voir ci-dessous). Le "6" est un autre timbre d'identification de virus utilisé par le composant de virus MS Word pour localiser le répertoire exact où sont situés les autres composants du virus.

Si le virus ne parvient pas à s'installer dans le répertoire système Windows, il dépose ses fichiers dans le répertoire temporaire Windows et crée / supprime / modifie exactement les mêmes clés à l'exception de "3".

Infection, etc.

Le virus infecte alors jusqu'à cinq fichiers EXE et jusqu'à cinq fichiers SRC dans le répertoire en cours. Le virus utilise les masques "GOAT * .EXE" et "GOAT * .SCR" pour localiser les fichiers, de sorte que le virus est un virus "de recherche" et ne peut pas infecter des fichiers avec des noms standard. Cependant, cette "fonctionnalité" de virus peut être facilement corrigée par l'auteur du virus, et le virus infectera les fichiers PE EXE de n'importe quel nom.

Malgré le fait que cette version du virus infecte uniquement les fichiers GOAT *, il recherche un nom antivirus dans un fichier et ignore l'infection. Le virus détecte les programmes antivirus en fonction des quatre premiers caractères du nom:

FSAV PAND INOC TBSC NAV NAVD NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM

Le virus n'infecte pas non plus les auto-extracteurs WinZip.

Le virus supprime les fichiers de données antivirus suivants:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Ce composant viral contient les textes:

– [W97-2K / Win32.Moridin 1.0] par Asmodeus iKX
Tia mi aven Moridin vadin
"La tombe n'est pas un obstacle à mon appel"

Virus Helper Run

L'assistant de virus est activé lors de l'exécution de n'importe quel fichier EXE (causé par la clé de registre du système "1", voir ci-dessus). En tant que ligne de commande, l'assistant obtient le nom de fichier EXE qui doit être exécuté et la ligne de commande. L'assistant fait attention à la fois au nom de fichier EXE et aux arguments de la ligne de commande.

Lorsque l'un des clients mIRC, PIRCH ou vIRC est exécuté, le virus les affecte. Il crée lui-même une copie dans le répertoire en cours avec le nom CRACK.EXE et crée un fichier de script correspondant ou des fichiers qui envoient le fichier CRACK.EXE infecté à un utilisateur. Le fichier entre dans le canal IRC (dans le cas d'un client vIRC), ou envoie un texte au canal avec le mot "crack" (mIRC, PIRCH).

Fichiers de script créés par le virus:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

Dans le cas où un utilisateur tente d'exécuter REGEDIT.EXE ou un programme antivirus, le virus termine simplement cette requête. La liste de ces noms de fichiers est la suivante:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Quand un fichier est exécuté correspondant à l'un des trois noms de "virus-fichier": CRAC *, PACK *, MMSY *, ou un fichier avec le nom SETU *, le virus termine le fichier et affiche un faux message d'erreur:

WinZip Self-Extractor
En-tête WinZip Self-Extractor corrompu.
Cause possible: erreur de disque ou de transfert de fichier

Dans l'instance, la ligne de commande contient une référence à un fichier .DOC, le virus ajoute son fichier PACKED.EXE à la fin du fichier. Cet ajout sera utilisé plus tard pour propager le virus à partir des documents Word concernés.

L'assistant de virus supprime également deux fichiers supplémentaires pour la migration vers l'environnement MS Word:

NORMAL.DOT au répertoire de modèles MS Word
IMPMORI.DRV vers le répertoire système Windows

Le modèle NORMAL.DOT contient un "chargeur" ​​de virus qui obtient les macros de virus complètes à partir du fichier IMPMORI.DRV.

Les assistants de virus désactive également la protection de macro-virus dans le registre système, ainsi que la recherche de programmes résidents de mémoire antivirus et les termine:

Moniteur AVP
Amon Antivirus Monitor
Version d'évaluation de Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect

Les pages HTML sont également affectées par le virus. Dans le cas où un fichier .HTM est trouvé dans le répertoire en cours, le virus se copie ici avec le nom SETUP.EXE et ajoute un lien "Télécharger" au fichier HTM. En cliquant sur ce lien, vous obtenez une fenêtre standard "Téléchargement de fichier".

En fonction du compteur aléatoire, l'assistant de virus définit également l'étiquette de volume "W32Moridin" sur le lecteur en cours.

Infecter un réseau

La fonction d'assistance de virus n'est pas terminée, car elle répand également le virus sur le réseau local s'il existe des lecteurs partagés pour un accès complet. L'assistant de virus les énumère et tente de les affecter de deux façons.

1. Le virus se copie ici avec le nom NETX.EXE et crée le fichier auto-exécuté AUTORUN.INF ici avec une commande qui active une copie de virus dans le fichier NETX.EXE.

2. Le virus recherche le répertoire Windows sur le lecteur. S'il existe un répertoire avec un nom "Windows", le virus se copie ici avec le nom INIT.EXE et enregistre cette copie dans le fichier WIN.INI dans la section d'exécution automatique.

Infecter les machines distantes

En plus de l'infection intranet, le virus tente également d'infecter les machines distantes d'une manière supplémentaire. Le virus cherche à voir si l'une des applications Internet listées ci-dessous est exécutée:

GetRight Monitor
Microsoft Outlook
Fenêtre ICQMsgAPI
Liens WWW
PIRCH98
Fenêtre de douilles

Dans ce cas, le virus obtient l'adresse IP de l'hôte (la machine à laquelle l'ordinateur infecté est connecté), puis analyse le sous-réseau hôte (généralement le sous-réseau de classe C) pour la présence de porte dérobée NetBus. Si une machine est infectée par NetBus, le virus envoie sa copie ici et oblige NetBus à l'exécuter.

Routine Backdoor

L'assistant de virus possède également sa propre routine Backdoor avec seulement quatre commandes implémentées:

– ouvre et ferme la porte du CD
– télécharge et génère un fichier
– se termine (routine de porte dérobée)
– affiche un message, le titre de la boîte de message contient le texte suivant:

[W97-2K / Win32.Moridin 1.0] par Asmodeus iKX

E-mail infecté

Le virus utilise deux systèmes de messagerie pour se propager: MS Outlook et Pegasus. La première méthode est réalisée dans le composant viral VBS, et la seconde dans le programme macro de virus MS Word.

MS Outlook

Pour se propager via des messages électroniques, le fichier viral COMMDLG.VBS se connecte à MS Outlook, obtient toutes les adresses du carnet d'adresses et envoie sa copie (le fichier PACKED.EXE) ici jointe au message. Le message a un objet, un corps et une signature choisis au hasard:

Sujet: "Virus ALERT!"
Corps: "Il y a un ver VBS qui se propage par email, protégez-vous!
N'ouvrez aucune pièce jointe appelée FREE-SEX.VBS "

Sujet: "Didacticiels Utopie / Terre 2025"
Corps: "Salut tout le monde, vérifiez ce jeu! Www.games.esite.com.
Quelques tutoriels sont joints au message "

Sujet: "Voilà comment je regarde :)"
Corps: "Voici quelques photos de moi, ça vous plait?"

La signature est sélectionnée parmi les variantes suivantes:

Cordialement,
Cordialement,
Bonne journée,

Il est complété dans le nom du propriétaire de l'ordinateur et le nom de l'organisation. Le virus obtient ces données à partir du registre du système.

Le fichier VBS du virus est exécuté à chaque redémarrage de Windows. Pour éviter les envois en double, le virus crée la clé de registre:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

et quitte la routine de propagation d'e-mail si cette clé est déjà présente dans le registre.

Pégase

Le composant de macro dans le document MS Word infecté recherche le client de messagerie Pegasus installé dans le système. Le virus sélectionne une adresse de la base de données Pegasus et envoie un document actif ici. Le message a l'un des textes suivants:

Regarde ça!

BAAAAAAAM! Vous venez d'être frappé par un attachement, c'est la guerre de l'attachement! Frapper quelqu'un, MAINTENANT!

Infecter MS Word

Le virus affecte MS Word à partir du fichier NORMAL.DOT (voir ci-dessus). Un programme de macro court obtient ici la macro de virus principale à partir du fichier IMPMORI.DRV dans le répertoire système Windows et le transfère à NORMAL.DOT.

La macro principale de virus contient trois routines: l'envoi d'une copie de virus par e-mail via Pegasus (voir ci-dessus); infectant d'autres documents MS Word; extraire et générer un composant PE EXE à partir du document.

Les documents MS Word sont infectés lorsqu'ils sont ouverts par Word. Le virus copie simplement son code ici et génère ADVAPI33.EXE avec le nom du fichier de document dans la ligne de commande, provoquant l'ajout du code du virus EXE à la fin du document.

Pour extraire le code EXE du document Word, la macro de virus ouvre le document en tant que fichier binaire, va à la fin du fichier, lit le composant EXE du virus, l'enregistre dans un fichier disque portant le nom W32MORI.EXE sur Windows répertoire et exécute ce fichier. Ainsi, le composant de virus EXE obtient le contrôle du document Word infecté.