Virus.MSVisio.Radiant

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: MSVisio

No platform description

Описание

Technical Details

Первый известный вирус, который поражает документы и шаблоны Visio (система построения диаграмм - см. http://www.visio.com). Visio использует макро-язык VBA (Visual Basic for Application), лицензированный у Microsoft. Поскольку языки в MS Office и Visio практически идентичны, макро-вирусы имеют возможность заражать файлы Visio примерно теми же способами, что и файлы MS Office.

Вирус довольно прост - он содержит всего одну процедуру, связанную с событием "BeforeDocumentClose", которая автоматически вызывается при закрытии документов Visio. Когда эта вирусная процедура получает управление, она перебирает все открытые документы и шаблоны и помещает в них код вируса.

Следует отметить, что при создании или открытии документа автоматически открываются шаблоны, использующиеся в документе. Эти шаблоны являются библиотеками элементов диаграмм, использующимися в Visio. Они хранятся в каталоге Visio и загружаются при необходимости (например, при создании новых документов). Если эти шаблоны уже содержат вирус, то код вируса автоматически активизируется каждый раз при закрытии зараженного шаблона (т.е. при закрытии документа, в котором этот шаблон используется).

Таким образом, если заражены системные шаблоны Visio, то то все открываемые или создаваемые документы будет заражены при их закрытии. Эта особенность Visio дает возможность вирусу быстро распространяться от документа к документу.

Вирус содержит процедуру, которая выполняется 31-го числа любого месяца. Она создает файл INDEX.HTM в корневом каталоге диска C: и помещает в него текст:

       A Multitude of Suns
      Orbit in Empty Space
   They Speak with their light
       to all that is dark.
    To me they remain silent.

  Greets to all the VX Community
        And Radiant Angels

           its......

            Radiant

Код вируса в конце содержит маленький коментарий. Похоже, что в этом комментарии зашифрована информация об авторе вируса, но метод и ключ шифровки неизвестны.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com