Класс
Virus
Платформа
MSWord

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: MSWord

MSWord (Microsoft Word) – популярный текстовый процессор, выпускаемый корпорацией Microsoft. Файлы MSWord имеют расширение DOC/DOCX.

Описание

Technical Details

Полу-полиморфные макро-вирусы - при заражении копируют свои макросы (три макроса) под случайными именами. В результате в различных документах и NORMAL.DOT код вируса остается без изменений, но макросы имеют произвольные имена. При выборе случайного имени вирус использует системный случайный счетчик и текущее время. Первый символ имени выбирается в зависимости от текущего часа: 1 - 'A', 2 - 'B', 3 - 'C' и т.д. Затем вирус добавляет четыре случайные цифры, полученные при помощи системного счетчика случайных чисел. В результате набор имен выглядит примерно так: O8493, O7920, O9259, или M8064, M8908, M8151 и т.д. Прочие версии этого вируса используют другие схемы построения имени, например, "Outlaw.Goodbye" записывает в начало имени два символа в зависимости от текущего часа: 1 - 'AZ', 2 - 'BY', 3 - 'CX', и т.д. В вирусе нет авто-макросов и для того, чтобы получить управление, переопределяет на себя два символа клавиатуры - при нажатии на пробел, вызывается макрос, заражающий область глобальных макросов, а при нажатии на 'E' - макрос, заражающий текущий документ. Для того, чтобы при заражении копировать исходные макросы и для вызова макроса, содержащего проявления (Payload), вирус необходимо получить текущие имена макросов. Вирус использует при этом два пути - при заражении документа создает в нем три переменные VirNameDoc, VirName, VirNamePayload, и записывает в них имена макросов. В случае необходимости вирус считывает имена макросов из этих переменных. В случае NORMAL.DOT (глобальные макросы) вирус записывает в SystemProfile (файл WIN.INI) строки, содержащие имена макросов:

[Intl]
Name=
Name2=
Name3=

20-го января "Outlaw" проявляет себя следующим образом: под Windows85 и в зависимости от некоторых других условий вирус записывает на диск файл LAUGH.WAV, содержащий запись смеха, и "озвучивает" его. При этом вирус вставляет в текущий документ строки:

You are infected with
Outlaw
A virus from Nightmare Joker

Существует зашифрованный вариант вируса - "Outlaw.b". "Outlaw.Black" содержит два макроса с 8-буквенными случайными именами (например: DIJRCJCY, DOFYBPIT). Выводит MessageBox:

BlackKnight

"Outlaw.Goodbye" зашифрован, плюс к трем первоначальным макросам содержит два "стелс"-макроса ToolsMacro и ExtrasMakro. При вызове Tools/Macro эти макросы выводят "пустое" меню и сообщения об ошибке (так же, как это делает Magnum). 10-го октября этот вирус запускает DOS-вирус "VLAD.Goodbye", создает новый темплейт и записывает в него текст:

You are infected with the MooNRaiDer Virus!
Greetings to all members of Vlad!
I hope that's not the end!
The scene would be to boring without this very good group!
Nightmare Joker

Затем создает в SystemProfile новую секцию:

[Vlad]
Goodbye=Yes

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Confirm changes?
Your message has been sent successfully.