Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: MSWord
MSWord (Microsoft Word) – популярный текстовый процессор, выпускаемый корпорацией Microsoft. Файлы MSWord имеют расширение DOC/DOCX.Описание
Technical Details
Вирус в зараженных документах состоит из двух компонент: Word-макроса и исполняемого EXE-файла Windows. Макрос вируса расположен в документе в обычном для макро-вирусов виде и имеет авто-имя "AutoOpen" (т.е. автоматически активизируется при открытии документа). EXE-файл в зараженных документах содержится как объект, вложенный в документ (embedded).
При открытии зараженного документа активизируется вирусный макрос, который открывает вложенный в документ EXE-файл и запускает его на выполнение. Вирус в EXE-файле периодически проверяет MS Word и записывает в редактируемые документы свой авто-макрос и EXE-файл. Все процедуры размножения исполняет EXE-файл, и вирус, таким образом, для своего рапространяется использует документы MS Word только как "носитель" вирусного кода.
При активизации вирусного макроса он также проверяет системный реестр, где вирус регистрирует свои запуски. Если вирус не активен, то макрос записывает на диск и запускает на выполнение файл "I.EXE" - основной модуль вируса. Эта программа ищет в системном каталоге Windows файл с расширением ".DLL" и записывает себя в этот каталог с таким же именем и расширением ".EXE" (например, "IPHLPAPI.EXE"). Вирус записывает в системный реестр команду автозапуска этого EXE-файла при каждой загрузке Windows.
После инсталляции в систему вирусный EXE-файл остается в памяти Windows как "скрытое" приложение и продолжает работать, получая управление по таймеру.
Каждый раз, когда копия вируса в памяти получает управление, она проверяет наличие запущенной копии MS Word. Если приложение MS Word запущено, вирус каждую секунду выполняет следующие действия:
1. Проверяет количество символов в активном документе MS Word. Если в течении тридцати секунд количество символов не изменилось вирус запускает процедуру заражения.
2. закрывает окно редактора Visual Basic, если он открыто.
3. в период с 21:36 до 07:12 открывает и закрывает CD-ROM.
Процедура заражения для доступа к функциям MS Word использует OLE automation. Она проверяет каждый открытый документ в MS Word. Если в документе нет вложенного объекта и если в документе присутствует по крайней мере один макро-модуль, то вирус заражает этот документ. Для этого он вставляет свой исполняемый EXE-файл в документ и добавляет в программный модуль короткий авто-макрос "AutoOpen".
Вирус содержит зашифрованную строку "3BEPb" (по которой он получил свое название). Эта строка также используется вирусом как заголовок окна своего EXE-процесса.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com