Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Virus
Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.Más información
Plataforma: MSWord
Microsoft Word (MS Word) es un popular procesador de textos y parte de Microsoft Office. Los archivos de Microsoft Word tienen una extensión .doc o .docx.Descripción
Detalles técnicos
Este macro virus contiene una macro que tiene diferentes nombres automáticos en documentos infectados ("Document_Open") y en el área de macros globales (NORMAL.DOT - "Document_Close"). Como resultado, el virus se activa al abrir y cerrar el documento. Infecta el área de macros global al abrir el documento infectado y se propaga a otros documentos al cerrarse.
Al infectar, el virus también desactiva la protección de virus de macros de Word (advertencia de virus), así como también deshabilita los menús de Word: "Herramientas / Macro", "Herramientas / Personalizar ...", "Ver / Barras de herramientas", "Ver / Estado" Bar".
El virus tiene una línea de comentarios utilizada por el virus para separar los documentos infectados y no infectados. Este texto aparece de la siguiente manera:
Jack-In-The-Box
El virus tiene capacidad de gusano y distribuye su copia a través de canales IRC. Para hacer esto, el virus-gusano busca el cliente mIRC instalado en un sistema, y crea un nuevo archivo SCRIPT.INI allí. El virus busca el cliente mIRC en un solo directorio, C: MIRC, y no infecta el mIRC en el caso cuando está instalado en cualquier otro directorio. Al infectar el cliente mIRC, el virus también desactiva sus mensajes de advertencia de seguridad. Para propagarse a través de los canales IRC, el virus envía el documento infectado C: WINDOWSSTORY.DOC que es creado por el virus cuando infecta un sistema. El virus simplemente guarda el documento actual (infectado) allí.
El archivo de script del virus contiene un conjunto de comandos mIRC (aproximadamente 4,5 Kb de instrucciones mIRC) que realizan muchas funciones, incluida la difusión a través de canales, visualización de mensajes, envío de mensajes spam y ocultación.
El virus envía su copia (el documento STORY.DOC) en tres instancias:
instancia 1. Al recibir cualquier archivo de cualquier persona a través de IRC, el script de virus devuelve inmediatamente el archivo infectado STORY.DOC.
instancia 2. El virus usa la lista de notificación de mIRC. La lista de notificaciones en el cliente mIRC contiene una lista de nicks, y en el caso de que cualquiera de estos nicks aparezca en la red, el cliente actual es informado de esto (recibe una notificación). En el caso de que un cliente mIRC afectado reciba una notificación sobre dicha persona, el virus realiza lo siguiente: elimina este alias de la lista de notificaciones; ignora todos los mensajes de este nick; y en 5 segundos, envía un mensaje, que a su vez es seguido 15 segundos después por una copia del virus (documento infectado de Word - C: WINDOWSSTORY.DOC). El mensaje que se envía al nick aparece de la siguiente manera:
Oye, no puedo hablar ahora, pero quería enviarte este archivo. Tiene unhistoria divertida que deberías leer, y también tiene macros dentro que te protegende muchos virus Solo abra el documento, habilite las macros, y siusted está infectado, se deshará del virus
instancia 3. Al recibir el comando "Invitar" desde cualquier nick, el script del virus, dentro de 10 segundos, se une a este canal y luego envía el mensaje a esta persona seguido del mismo archivo infectado STORY.DOC:
Gracias por la invitaciónEstoy un poco ocupado, así que no puedo hablar mucho ahora. Pensé que querríasmira este archivo que tengo. Tiene una historia divertida y también tiene macros en ellaque eliminan cualquier macro virus. Simplemente habilite las macros cuando elaparece el aviso y buscará virus y los limpiará.
El virus también parece informar a su autor sobre su actividad. Al conectarse al servidor mIRC, el virus agrega un nick "SimpleSmn" a la lista de notificaciones - se notificará al mIRC afectado si aparece dicho nick en la red IRC. El cliente mIRC infectado luego detecta cuando aparece una persona con un nick "SimpleSmn" en la red IRC. En este caso, el virus informa a esta persona con el mensaje "Estoy en IRC", por lo que el virus informa a su autor sobre las computadoras infectadas en línea.
Con un comando "Aviso" del alias "Simplicidad", el virus abre la unidad C: en la computadora infectada como servidor de archivos (con acceso completo), por lo que el virus tiene capacidad de puerta trasera.
Al conectarse al servidor IRC, el virus oculta su script y lo restaura al desconectarse: al conectarse, copia SCRIPT.INI del directorio C: MIRC al archivo C: WINDOWSSCRIPT1.INI, lo vuelve a cargar en el cliente mIRC y luego lo borra el contenido C: MIRCSCRIPT.INI. Al desconectarse, el virus copia C: WINDOWSSCRIPT1.INI de vuelta a C: MIRCSCRIPT.INI y borra el archivo C: WINDOWSSCRIPT1.INI.
En caso de que el cliente afectado ingrese un canal que tenga sub-cadenas "help" o "nohack" en el nombre del canal, la secuencia de comandos del virus sale inmediatamente de este canal.
El virus desactiva cualquier mensaje de cualquier usuario en un canal, si envía un mensaje que tenga cualquiera de las siguientes cadenas:
script gusano virus infectar a Jack Box macro Story.doc
Si un cliente infectado ingresa un comando de IRC personalizado "/ BY" (agregado por secuencia de comandos), el virus muestra el texto:
Mirc Worm Jack-In-The-BoxPor SimpleSimon
Si los textos son "Hola", "!", "Hola" o "Hola", el virus abre uno de los antivirus y otras direcciones de Internet que tienen un servidor de correo con capacidad de retransmisión pública abierta:
mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,drsolomon.com, www.bocklabs.wisc.edu, ebay.com
y busca el sistema SendMail permitido allí. Si está disponible, el virus, al usar este servidor de correo electrónico, envía mensajes de correo no deseado con los siguientes campos:
correo de: Addr1@Addr2.comrcpt a: Addr3a: Addr3de: Addr1@Addr2.comAsunto: RndTextCuerpo del mensaje: ¡Jack-In-The-Box ha aparecido nuevamente!
donde Addr1 y Addr2 son cadenas de texto generadas aleatoriamente de hasta ocho letras de tamaño, RndText es texto generado aleatoriamente de hasta 50 símbolos de la longitud, y Addr3 se selecciona aleatoriamente de la lista:
evrt@avp.comsamples@datafellows.comvirus_research@nai.comtech_support@nai.com
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com