Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Virus
Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.Más información
Plataforma: Multi
No platform descriptionDescripción
Detalles técnicos
Este es un virus multiplataforma que infecta los sistemas Win32. El virus infecta los archivos ejecutables de Win32, los documentos de MS Word y se propaga a través del correo electrónico a través de los canales de IRC y también infecta la red local. El virus también tiene la habilidad de Backdoor .
El virus tiene un tamaño aproximado de 70K y hay muchos otros componentes integrados en él: Win32 EXE "helper" (aplicación adicional), plantilla de Word, fuente del componente macro de Word, así como varios programas de script: VBS, mIRC, PIRCH y vIRC . Las rutinas de virus EXE están escritas en Assembler.
El virus se puede encontrar de varias formas:
- archivo PE EXE infectado
- Ayudante EXE
- documentos infectados de Word
- Script VBS
- IRC sctiprs
Mientras se propaga por correo electrónico a través de la red y los canales de IRC, el gusano nombra sus copias como: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE e INIT.EXE.
Componente de virus PE EXE - Archivos PE EXE infectados
Infecting PE EXE files
Al infectar un archivo PE EXE, el virus aumenta el tamaño de la última sección del archivo, se cifra con una rutina polimórfica y se escribe aquí. El código polimórfico es de complejidad promedio.
Para obtener el control cuando se ejecuta un archivo infectado, el virus revisa el código de entrada del archivo con un código corto semi-polimórfico que inmediatamente pasa el control a un bucle de descifrado polimórfico cuando se ejecuta un archivo infectado.
Ejecutar archivo infectado
Cuando se ejecuta un archivo infectado, el código polimórfico del virus gana control, descifra el código del virus principal y transfiere el control aquí. El virus crea cuatro archivos en el directorio de sistema de Windows:
ADVAPI33.EXE (nota: "33" no "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS
los tres primeros archivos contienen el mismo código, un auxiliar de virus 60K (ver a continuación), que es un archivo PE EXE y se ejecuta como una aplicación típica de Windows. Estos archivos son utilizados por otros componentes de virus para infectar documentos de Word, así como para propagar el virus a través de canales de IRC y correo electrónico (ver a continuación).
El virus PACKED.EXE y MMSYSTEM.BIN son infectados por el virus de la misma manera que otros archivos EXE están infectados (ver arriba). Como resultado, el tamaño de estos archivos aumenta hasta 130K (60K de helper más 70K de código de virus completo), y el código del helper está duplicado aquí (el helper está infectado por un virus que tiene otro helper incrustado en él). )
El archivo COMMDLG.VBS contiene VBScript que propaga el virus en Internet a través de mensajes de correo electrónico.
Claves de registro del sistema
El virus luego modifica las claves de registro del sistema. Crea las siguientes claves:
1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "
2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS
3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $
Indicadores = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Path = "C:"
Observación = ""
Tipo = 0
y elimina la siguiente clave:
4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun
modifica las siguientes claves:
5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0
6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"
donde% SystemDir% es el nombre del directorio de sistema de Windows.
El "1" hace que el sistema ejecute el virus auxiliar cuando se ejecuta cada archivo EXE (consulte a continuación). El "2" activa un componente VBS que envía correo electrónico afectado al inicio de Windows. El "3" parece ser un sello de identificación de virus. El "4" habilita el autoarchivo del archivo AUTORUN.INF. El "5" permite que un componente de puerta trasera obtenga contraseñas del sistema (el código del virus no contiene una rutina para eso, pero puede descargarse e instalarse, ver más abajo). El "6" es otro sello de identificación de virus que utiliza el componente de virus MS Word para ubicar el directorio exacto donde se encuentran otros componentes del virus.
Si el virus no se instala en el directorio del sistema de Windows, deja caer sus archivos en el directorio temporal de Windows y crea / elimina / modifica exactamente las mismas claves, con la excepción de "3".
Infección, etc.
Luego, el virus infecta hasta cinco EXE y hasta cinco archivos SRC en el directorio actual. El virus usa las máscaras "GOAT * .EXE" y "GOAT * .SCR" para localizar los archivos, por lo que el virus es de "investigación" y no puede infectar archivos con nombres estándar. Sin embargo, esa "característica" del virus puede ser fácilmente corregida por el autor del virus, y el virus infectará archivos PE EXE de cualquier nombre.
A pesar de que esta versión de virus solo infecta archivos GOAT *, verifica un nombre antivirus en un archivo y omite una infección. El virus detecta los programas antivirus de acuerdo con los primeros cuatro caracteres del nombre:
FSAV PAND INOC TBSC NAVS NAVD NAVX ADVA SCAN NOD3 DRWE SPID AMON AVP3 AVPM
El virus tampoco infecta autoextractores WinZip.
El virus elimina los siguientes archivos de datos antivirus:
CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC
Este componente del virus contiene los textos:
- [W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Tia mi aven Moridin vadin
"La tumba no es obstáculo para mi llamada"
Virus Helper Run
El asistente de virus se activa cuando se ejecuta un archivo EXE (causado por la clave de registro del sistema "1", ver más arriba). Como línea de comando, el helper obtiene el nombre de archivo EXE que se espera ejecutar y la línea de comando. El ayudante presta atención tanto al nombre de archivo EXE como a los argumentos de línea de comando.
Cuando se ejecuta cualquiera de los clientes mIRC, PIRCH o vIRC, el virus los afecta. Hace una copia en el directorio actual con el nombre CRACK.EXE y crea un archivo de script correspondiente o archivos que envían el archivo CRACK.EXE infectado a un usuario. El archivo ingresa al canal IRC (en el caso de un cliente vIRC) o envía un texto al canal con la palabra "crack" (mIRC, PIRCH).
Archivos de script creados por el virus:
MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTOS.INI
VIRC: DEFAULT.LIB
En caso de que un usuario intente ejecutar el REGEDIT.EXE o un programa antivirus, el virus simplemente finaliza esa solicitud. La lista de estos nombres de archivo es la siguiente:
REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, SCAN *, SPID *, DRWE *
Cuando se ejecuta un archivo correspondiente a uno de los tres nombres de "archivo de virus": CRAC *, PACK *, MMSY * o un archivo con el nombre SETU *, el virus termina el archivo y muestra un mensaje de error falso:
Autoextractor WinZip
WinZip Self-Extractor encabezado corrupto.
Causa posible: error de transferencia de archivos o archivos defectuosos
En la instancia en que la línea de comando contiene una referencia a un archivo .DOC, el virus agrega su archivo PACKED.EXE al final del archivo. Esta adición se usará más adelante para propagar el virus desde los documentos Word afectados.
El asistente de virus también elimina dos archivos más para migrar al entorno de MS Word:
Directorio de plantillas de NORMAL.DOT to MS Word
IMPMORI.DRV al directorio del sistema de Windows
La plantilla NORMAL.DOT contiene un "cargador" de virus que obtiene las macros de virus completas del archivo IMPMORI.DRV.
Los antivirus también desactivan la protección de los virus en el registro del sistema, y buscan programas residentes de memoria antivirus y los finalizan:
Monitor AVP
Monitor Antivirus Amon
Versión de prueba de Norton AntiVirus Auto-Protect
Norton AntiVirus Auto-Protect
Las páginas HTML también se ven afectadas por el virus. En el caso de que se encuentre un archivo .HTM en el directorio actual, el virus se copia aquí con el nombre SETUP.EXE y agrega un enlace "Descargar" al archivo HTM. Al hacer clic en este enlace se obtiene una ventana estándar de "Descarga de archivos".
Dependiendo del contador aleatorio, el asistente de virus también establece la etiqueta de volumen "W32Moridin" en la unidad actual.
Infectar una red
La característica de ayuda de virus no está terminada, ya que también propaga el virus a través de la red local si hay unidades compartidas para un acceso completo. El asistente de virus los enumera e intenta afectarlos de dos maneras.
1. El virus se copia aquí con el nombre NETX.EXE y crea el archivo auto ejecutado AUTORUN.INF aquí con un comando que activa una copia de virus en el archivo NETX.EXE.
2. El virus busca el directorio de Windows en la unidad. Si hay un directorio con un nombre similar a "Windows", el virus se copia aquí con el nombre INIT.EXE y registra esa copia en el archivo WIN.INI en la sección de ejecución automática.
Infecting Remote Machines
Además de la infección intranet, el virus también intenta infectar las máquinas remotas de una manera más. El virus busca si se ejecuta una de las aplicaciones de Internet que figuran a continuación:
GetRight Monitor
Microsoft Outlook
Ventana ICQMsgAPI
Enlaces de WWW
PIRCH98
Ventana de zócalos
En este caso, el virus obtiene la dirección IP del host (la máquina a la que está conectada la computadora infectada) y luego escanea la subred del host (normalmente la subred de clase C) para la presencia de puerta trasera de NetBus. Si hay una máquina infectada por NetBus, el virus envía su copia aquí y obliga a NetBus a ejecutarla.
Rutina de puerta trasera
El virus auxiliar también tiene su propia rutina Backdoor con solo cuatro comandos implementados:
- abre y cierra la puerta del CD
- descarga y genera un archivo
- termina por sí mismo (rutina de puerta trasera)
- muestra un mensaje, el título del cuadro de mensaje contiene el siguiente texto:[W97-2K / Win32.Moridin 1.0] por Asmodeus iKX
Correo electrónico infectado
El virus usa dos sistemas de correo para propagarse: MS Outlook y Pegasus. El primer método se realiza en el componente de virus VBS y el segundo en el programa de macro de virus MS Word.
MS Outlook
Para propagarse a sí mismo a través de mensajes de correo electrónico, el archivo COMMDLG.VBS de virus se conecta a MS Outlook, obtiene todas las direcciones de la libreta de direcciones y envía su copia (el archivo PACKED.EXE) aquí adjunta al mensaje. El mensaje tiene un Asunto, Cuerpo y Firma seleccionados al azar:
Asunto: "ALERTA Virus!"
Cuerpo: "Hay un gusano VBS que se propaga por correo electrónico, ¡protégete!
No abra ningún archivo adjunto llamado FREE-SEX.VBS "
Asunto: "Tutoriales de Utopía / Tierra 2025"
Cuerpo: "Hola a todos, revisen este juego! Www.games.esite.com.
Un par de tutoriales están adjuntos al mensaje "
Asunto: "Así es como me veo :)"
Cuerpo: "Aquí hay algunas fotos mías, ¿te gusta? :)"
La firma se selecciona de las siguientes variantes:
Saludos,
Sinceramente,
Que tengas un buen día,
Se completa con el nombre del propietario de la computadora y el nombre de la organización. El virus obtiene estos datos del registro del sistema.
El archivo VBS del virus se ejecuta con cada reinicio de Windows. Para evitar envíos duplicados, el virus crea la clave de registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0
y sale de la rutina de distribución de correo electrónico si esta clave ya está presente en el registro.
Pegaso
El componente macro en el documento infectado de MS Word busca el cliente de correo Pegasus instalado en el sistema. El virus selecciona una dirección de la base de datos de Pegasus y envía un documento activo aquí. El mensaje tiene uno de los siguientes textos:
¡Mira esto!
BAAAAAAAM! ¡Acabas de ser golpeado por un archivo adjunto, esta es la guerra de apego! Golpea a alguien, AHORA!
Infectar MS Word
El virus afecta a MS Word que se ejecuta desde el archivo NORMAL.DOT (ver arriba). Un macroprograma corto aquí obtiene la macro de virus principal del archivo IMPMORI.DRV en el directorio del sistema de Windows y la transfiere a NORMAL.DOT.
La macro de virus principal contiene tres rutinas: enviar una copia de virus por correo electrónico usando Pegasus (ver arriba); infectar otros documentos de MS Word; extraer y generar un componente PE EXE del documento.
Los documentos de MS Word se infectan cuando Word los abre. El virus simplemente copia su código aquí y genera ADVAPI33.EXE con el nombre del archivo del documento en la línea de comandos, lo que provoca que se agregue el código del virus EXE al final del documento.
Para extraer el código EXE del documento de Word, la macro del virus abre el documento como un archivo binario, va al final del archivo, lee el componente EXE del virus, lo guarda en un archivo de disco con el nombre W32MORI.EXE en Windows directorio y ejecuta este archivo. Por lo tanto, el componente de virus EXE obtiene control del documento de Word infectado.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com