Virus.Multi.Moridin

Detalles técnicos

Este es un virus multiplataforma que infecta los sistemas Win32. El virus infecta los archivos ejecutables de Win32, los documentos de MS Word y se propaga a través del correo electrónico a través de los canales de IRC y también infecta la red local. El virus también tiene la habilidad de Backdoor .

El virus tiene un tamaño aproximado de 70K y hay muchos otros componentes integrados en él: Win32 EXE "helper" (aplicación adicional), plantilla de Word, fuente del componente macro de Word, así como varios programas de script: VBS, mIRC, PIRCH y vIRC . Las rutinas de virus EXE están escritas en Assembler.

El virus se puede encontrar de varias formas:

– archivo PE EXE infectado
– Ayudante EXE
– documentos infectados de Word
– Script VBS
– IRC sctiprs

Mientras se propaga por correo electrónico a través de la red y los canales de IRC, el gusano nombra sus copias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE.

Componente de virus PE EXE – Archivos PE EXE infectados

Infecting PE EXE files

Al infectar un archivo PE EXE, el virus aumenta el tamaño de la última sección del archivo, se cifra con una rutina polimórfica y se escribe aquí. El código polimórfico es de complejidad promedio.

Para obtener el control cuando se ejecuta un archivo infectado, el virus revisa el código de entrada del archivo con un código corto semi-polimórfico que inmediatamente pasa el control a un bucle de descifrado polimórfico cuando se ejecuta un archivo infectado.

Ejecutar archivo infectado

Cuando se ejecuta un archivo infectado, el código polimórfico del virus gana control, descifra el código del virus principal y transfiere el control aquí. El virus crea cuatro archivos en el directorio de sistema de Windows:

ADVAPI33.EXE (nota: "33" no "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

los tres primeros archivos contienen el mismo código, un auxiliar de virus 60K (ver a continuación), que es un archivo PE EXE y se ejecuta como una aplicación típica de Windows. Estos archivos son utilizados por otros componentes de virus para infectar documentos de Word, así como para propagar el virus a través de canales de IRC y correo electrónico (ver a continuación).

El virus PACKED.EXE y MMSYSTEM.BIN son infectados por el virus de la misma manera que otros archivos EXE están infectados (ver arriba). Como resultado, el tamaño de estos archivos aumenta hasta 130K (60K de helper más 70K de código de virus completo), y el código del helper está duplicado aquí (el helper está infectado por un virus que tiene otro helper incrustado en él). )

El archivo COMMDLG.VBS contiene VBScript que propaga el virus en Internet a través de mensajes de correo electrónico.

Claves de registro del sistema

El virus luego modifica las claves de registro del sistema. Crea las siguientes claves:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Indicadores = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Path = "C:"
Observación = ""
Tipo = 0

y elimina la siguiente clave:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

modifica las siguientes claves:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

donde% SystemDir% es el nombre del directorio de sistema de Windows.

El "1" hace que el sistema ejecute el virus auxiliar cuando se ejecuta cada archivo EXE (consulte a continuación). El "2" activa un componente VBS que envía correo electrónico afectado al inicio de Windows. El "3" parece ser un sello de identificación de virus. El "4" habilita el autoarchivo del archivo AUTORUN.INF. El "5" permite que un componente de puerta trasera obtenga contraseñas del sistema (el código del virus no contiene una rutina para eso, pero puede descargarse e instalarse, ver más abajo). El "6" es otro sello de identificación de virus que utiliza el componente de virus MS Word para ubicar el directorio exacto donde se encuentran otros componentes del virus.

Si el virus no se instala en el directorio del sistema de Windows, deja caer sus archivos en el directorio temporal de Windows y crea / elimina / modifica exactamente las mismas claves, con la excepción de "3".

Infección, etc.

Luego, el virus infecta hasta cinco EXE y hasta cinco archivos SRC en el directorio actual. El virus usa las máscaras "GOAT * .EXE" y "GOAT * .SCR" para localizar los archivos, por lo que el virus es de "investigación" y no puede infectar archivos con nombres estándar. Sin embargo, esa "característica" del virus puede ser fácilmente corregida por el autor del virus, y el virus infectará archivos PE EXE de cualquier nombre.

A pesar de que esta versión de virus solo infecta archivos GOAT *, verifica un nombre antivirus en un archivo y omite una infección. El virus detecta los programas antivirus de acuerdo con los primeros cuatro caracteres del nombre:

FSAV PAND INOC TBSC NAVS NAVD NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM

El virus tampoco infecta autoextractores WinZip.

El virus elimina los siguientes archivos de datos antivirus:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Este componente del virus contiene los textos:

– [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Tia mi aven Moridin vadin
"La tumba no es obstáculo para mi llamada"

Virus Helper Run

El asistente de virus se activa cuando se ejecuta un archivo EXE (causado por la clave de registro del sistema "1", ver más arriba). Como línea de comando, el helper obtiene el nombre de archivo EXE que se espera ejecutar y la línea de comando. El ayudante presta atención tanto al nombre de archivo EXE como a los argumentos de línea de comando.

Cuando se ejecuta cualquiera de los clientes mIRC, PIRCH o vIRC, el virus los afecta. Hace una copia en el directorio actual con el nombre CRACK.EXE y crea un archivo de script correspondiente o archivos que envían el archivo CRACK.EXE infectado a un usuario. El archivo ingresa al canal IRC (en el caso de un cliente vIRC) o envía un texto al canal con la palabra "crack" (mIRC, PIRCH).

Archivos de script creados por el virus:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTOS.INI
VIRC: DEFAULT.LIB

En caso de que un usuario intente ejecutar el REGEDIT.EXE o un programa antivirus, el virus simplemente finaliza esa solicitud. La lista de estos nombres de archivo es la siguiente:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *

Cuando se ejecuta un archivo correspondiente a uno de los tres nombres de "archivo de virus": CRAC *, PACK *, MMSY * o un archivo con el nombre SETU *, el virus termina el archivo y muestra un mensaje de error falso:

Autoextractor WinZip
WinZip Self-Extractor encabezado corrupto.
Causa posible: error de transferencia de archivos o archivos defectuosos

En la instancia en que la línea de comando contiene una referencia a un archivo .DOC, el virus agrega su archivo PACKED.EXE al final del archivo. Esta adición se usará más adelante para propagar el virus desde los documentos Word afectados.

El asistente de virus también elimina dos archivos más para migrar al entorno de MS Word:

Directorio de plantillas de NORMAL.DOT to MS Word
IMPMORI.DRV al directorio del sistema de Windows

La plantilla NORMAL.DOT contiene un "cargador" de virus que obtiene las macros de virus completas del archivo IMPMORI.DRV.

Los antivirus también desactivan la protección de los virus en el registro del sistema, y ​​buscan programas residentes de memoria antivirus y los finalizan:

Monitor AVP
Monitor Antivirus Amon
Versión de prueba de Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect

Las páginas HTML también se ven afectadas por el virus. En el caso de que se encuentre un archivo .HTM en el directorio actual, el virus se copia aquí con el nombre SETUP.EXE y agrega un enlace "Descargar" al archivo HTM. Al hacer clic en este enlace se obtiene una ventana estándar de "Descarga de archivos".

Dependiendo del contador aleatorio, el asistente de virus también establece la etiqueta de volumen "W32Moridin" en la unidad actual.

Infectar una red

La característica de ayuda de virus no está terminada, ya que también propaga el virus a través de la red local si hay unidades compartidas para un acceso completo. El asistente de virus los enumera e intenta afectarlos de dos maneras.

1. El virus se copia aquí con el nombre NETX.EXE y crea el archivo auto ejecutado AUTORUN.INF aquí con un comando que activa una copia de virus en el archivo NETX.EXE.

2. El virus busca el directorio de Windows en la unidad. Si hay un directorio con un nombre similar a "Windows", el virus se copia aquí con el nombre INIT.EXE y registra esa copia en el archivo WIN.INI en la sección de ejecución automática.

Infecting Remote Machines

Además de la infección intranet, el virus también intenta infectar las máquinas remotas de una manera más. El virus busca si se ejecuta una de las aplicaciones de Internet que figuran a continuación:

GetRight Monitor
Microsoft Outlook
Ventana ICQMsgAPI
Enlaces de WWW
PIRCH98
Ventana de zócalos

En este caso, el virus obtiene la dirección IP del host (la máquina a la que está conectada la computadora infectada) y luego escanea la subred del host (normalmente la subred de clase C) para la presencia de puerta trasera de NetBus. Si hay una máquina infectada por NetBus, el virus envía su copia aquí y obliga a NetBus a ejecutarla.

Rutina de puerta trasera

El virus auxiliar también tiene su propia rutina Backdoor con solo cuatro comandos implementados:

– abre y cierra la puerta del CD
– descarga y genera un archivo
– termina por sí mismo (rutina de puerta trasera)
– muestra un mensaje, el título del cuadro de mensaje contiene el siguiente texto:

[W97-2K / Win32.Moridin 1.0] por Asmodeus iKX

Correo electrónico infectado

El virus usa dos sistemas de correo para propagarse: MS Outlook y Pegasus. El primer método se realiza en el componente de virus VBS y el segundo en el programa de macro de virus MS Word.

MS Outlook

Para propagarse a sí mismo a través de mensajes de correo electrónico, el archivo COMMDLG.VBS de virus se conecta a MS Outlook, obtiene todas las direcciones de la libreta de direcciones y envía su copia (el archivo PACKED.EXE) aquí adjunta al mensaje. El mensaje tiene un Asunto, Cuerpo y Firma seleccionados al azar:

Asunto: "ALERTA Virus!"
Cuerpo: "Hay un gusano VBS que se propaga por correo electrónico, ¡protégete!
No abra ningún archivo adjunto llamado FREE-SEX.VBS "

Asunto: "Tutoriales de Utopía / Tierra 2025"
Cuerpo: "Hola a todos, revisen este juego! Www.games.esite.com.
Un par de tutoriales están adjuntos al mensaje "

Asunto: "Así es como me veo :)"
Cuerpo: "Aquí hay algunas fotos mías, ¿te gusta? :)"

La firma se selecciona de las siguientes variantes:

Saludos,
Sinceramente,
Que tengas un buen día,

Se completa con el nombre del propietario de la computadora y el nombre de la organización. El virus obtiene estos datos del registro del sistema.

El archivo VBS del virus se ejecuta con cada reinicio de Windows. Para evitar envíos duplicados, el virus crea la clave de registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

y sale de la rutina de distribución de correo electrónico si esta clave ya está presente en el registro.

Pegaso

El componente macro en el documento infectado de MS Word busca el cliente de correo Pegasus instalado en el sistema. El virus selecciona una dirección de la base de datos de Pegasus y envía un documento activo aquí. El mensaje tiene uno de los siguientes textos:

¡Mira esto!

BAAAAAAAM! ¡Acabas de ser golpeado por un archivo adjunto, esta es la guerra de apego! Golpea a alguien, AHORA!

Infectar MS Word

El virus afecta a MS Word que se ejecuta desde el archivo NORMAL.DOT (ver arriba). Un macroprograma corto aquí obtiene la macro de virus principal del archivo IMPMORI.DRV en el directorio del sistema de Windows y la transfiere a NORMAL.DOT.

La macro de virus principal contiene tres rutinas: enviar una copia de virus por correo electrónico usando Pegasus (ver arriba); infectar otros documentos de MS Word; extraer y generar un componente PE EXE del documento.

Los documentos de MS Word se infectan cuando Word los abre. El virus simplemente copia su código aquí y genera ADVAPI33.EXE con el nombre del archivo del documento en la línea de comandos, lo que provoca que se agregue el código del virus EXE al final del documento.

Para extraer el código EXE del documento de Word, la macro del virus abre el documento como un archivo binario, va al final del archivo, lee el componente EXE del virus, lo guarda en un archivo de disco con el nombre W32MORI.EXE en Windows directorio y ejecuta este archivo. Por lo tanto, el componente de virus EXE obtiene control del documento de Word infectado.