Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: MSWord
MSWord (Microsoft Word) – популярный текстовый процессор, выпускаемый корпорацией Microsoft. Файлы MSWord имеют расширение DOC/DOCX.Описание
Technical Details
Макро-вирус, состоящий из одного макроса, который имеет различные имена в зараженных документах и области общих макросов NORMAL.DOT - "Document_Open" или "Document_Close". В результате вирус активизируется при открытии и закрытии документов. При открытии зараженного документа записывается в NORMAL.DOT, при закрытии документов - заражает их.
При заражении также выключает защиту от макро-вирусов (Virus Warning) и блокирует пункты меню Word: "Tools/Macro", "Tools/Customize...", "View/Toolbars", "View/Status Bar".
Вирус содержит строку-комментарий, которая также используется вирусом для детектирования уже зараженных документов Word:
Jack-In-The-Box
Вирус также распространяет свои копии по каналам IRC. Для этого он ищет установленного в системе клиента mIRC и создает в его каталоге новый системный скрипт - файл SCRIPT.INI. Вирус ищет mIRC-клиента только в каталоге C:MIRC и, соответственно, неспособен поразить mIRC-клинета, если он установлен в любом другом каталоге. Затем вирус создает файл-документ STORY.DOC в каталоге C:WINDOWS и записывает в него содержимое текущего (зараженного) документа. Этот документ затем рассылается в IRC-каналы.
mIRC-скрипт вируса содержит большое количество команд (около 4.5Kb инструкций), которые выполняют различные функции: рассылка вируса в IRC-каналы, рассылка spam-сообщений, скрытие вирусного скрипта и т.п.
Вирус рассылает зараженный файл-документ STORY.DOC в трех случаях.
1. При получении из IRC-канала любых файлов вирусный скрипт немедленно отправляет назад отправителю зараженный STORY.DOC.
2. Вирус использует список оповещения (notify list) клиента mIRC. Этот список содержит имена (прозвища - nick) пользователей, о подключении которых к каналу mIRC-клиент получает оповещение (этакий "списох приятелей"). В том случае, если пораженный вирусом mIRC-клиент получает оповещение о подключении к каналу кого-либо из списка оповещения, вирус стирает ссылку на это имя из списка оповещения (т.е. повторного оповещения не будет), устанавливает режим игнорирования любых сообщений от данного пользователя, через 5 секунд посылает ему сообщение (см. ниже), которое через 15 секунд дополняется копией зараженного файла STORY.DOC. Текст сообщения выглядит следующим образом:
Hey, I can't talk right now but I wanted to send you this file. It has a
funny story you should read, and also has macros inside that protect you
from a lot of viruses. Just open the document, enable the macros, and if
you are infected it will get rid of the virus
3. При получении приглашения на какой-либо канал (команда "Invite") вирусный скрипт через 10 секунд переходит на этот канал и затем посылает сообщение приглашавшему:
Thanks for the invite
I'm a little busy so I can't talk much now. I thought you might want to
look at this file I got. It has a funny story and also has macros in it
which get rid of any macro viruses. Just enable the macros when the
prompt comes up and it will scan for any viruses and clean them.
За этим сообщением следует файл STORY.DOC.
Вирусный скрипт также оповещяет автора вируса о зараженных компьютерах в сети. Для этого он при подключении к IRC-серверу добавляет имя "SimpleSmn" в список оповещения. При появления пользователя с таким именем вирусный скрипт посылает ему сообщение: "I'm on irc.".
При получении команды "Notice" от пользователя "Simplicity" вирусный скрипт открывает диск C: на локальнов компьютере как файл-сервер (т.е. фактически выполняет вункции троянского коня типа Backdoor).
При подключении к IRC-серверу вирус прячет свой скрипт-файл, и восстанавливает его при отключении от сервера: при подключении переносит его из C:MIRC в C:WINDOWS и именем SCRIPT1.INI, при отсоединении от сервера переносит назад.
Вирус также пытается скрыть от пользователя пораженного mIRC факт заражения, обсуждаемый в сети: блокирует попытки перейти в каналы, в именах которых есть строки "help" или "nohack"; блокирует сообщения, если в их тексте есть строки:
script worm virus infect Jack Box macro Story.doc
Если на зараженном клиенте ввести команду "/BY" (которая отсутствует в стандартных командах IRC), вирус выводит текст:
Mirc Worm Jack-In-The-Box
By SimpleSimon
Каждый раз про появлении в сети сообщений, в которых присутствуют строки "Hi", "Hey", "Hello" или символ "!" вирус делает попытку разослать пустое сообщение (spam). Для этого он выбирает случайным образом один из интернет-адресов и пытается подсоединиться к почтовому серверу на данном адресе (если таковой существует). Список интернет-адресов выглядит следующим образом:
mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,
drsolomon.com, www.bocklabs.wisc.edu, ebay.com
Если почтовый сервер доступен, вирус посылает через него spam-сообшение с полями:
mail from: Addr1@Addr2.com
rcpt to: Addr3
to: Addr3
from: Addr1@Addr2.com
Subject: RndText
Message body: Jack-In-The-Box Has Popped Up Again!
где Addr1 и Addr2 являются случайно сгенеренными тестовыми строками длиной до 8 символов; RndText - случайный текст до 50 символов длиной; Addr3 случайно выбирается из адресов:
evrt@avp.com
samples@datafellows.com
virus_research@nai.com
tech_support@nai.com
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com