Virus.MSWord.Story

Класс Virus
Платформа MSWord
Описание

Technical Details

Макро-вирус, состоящий из одного макроса, который имеет различные имена в
зараженных документах и области общих макросов NORMAL.DOT — «Document_Open»
или «Document_Close». В результате вирус активизируется при открытии и
закрытии документов. При открытии зараженного документа записывается в
NORMAL.DOT, при закрытии документов — заражает их.

При заражении также выключает защиту от макро-вирусов (Virus Warning) и
блокирует пункты меню Word: «Tools/Macro», «Tools/Customize…»,
«View/Toolbars», «View/Status Bar».

Вирус содержит строку-комментарий, которая также используется вирусом для
детектирования уже зараженных документов Word:

Jack-In-The-Box

Вирус также распространяет свои копии по каналам IRC. Для этого он ищет
установленного в системе клиента mIRC и создает в его каталоге новый
системный скрипт — файл SCRIPT.INI. Вирус ищет mIRC-клиента только в
каталоге C:MIRC и, соответственно, неспособен поразить mIRC-клинета, если
он установлен в любом другом каталоге. Затем вирус создает файл-документ
STORY.DOC в каталоге C:WINDOWS и записывает в него содержимое текущего
(зараженного) документа. Этот документ затем рассылается в IRC-каналы.

mIRC-скрипт вируса содержит большое количество команд (около 4.5Kb
инструкций), которые выполняют различные функции: рассылка вируса в
IRC-каналы, рассылка spam-сообщений, скрытие вирусного скрипта и т.п.

Вирус рассылает зараженный файл-документ STORY.DOC в трех случаях.

1. При получении из IRC-канала любых файлов вирусный скрипт немедленно
отправляет назад отправителю зараженный STORY.DOC.

2. Вирус использует список оповещения (notify list) клиента mIRC. Этот
список содержит имена (прозвища — nick) пользователей, о подключении
которых к каналу mIRC-клиент получает оповещение (этакий «списох
приятелей»). В том случае, если пораженный вирусом mIRC-клиент получает
оповещение о подключении к каналу кого-либо из списка оповещения, вирус
стирает ссылку на это имя из списка оповещения (т.е. повторного оповещения
не будет), устанавливает режим игнорирования любых сообщений от данного
пользователя, через 5 секунд посылает ему сообщение (см. ниже), которое
через 15 секунд дополняется копией зараженного файла STORY.DOC. Текст
сообщения выглядит следующим образом:

Hey, I can’t talk right now but I wanted to send you this file. It has a
funny story you should read, and also has macros inside that protect you
from a lot of viruses. Just open the document, enable the macros, and if
you are infected it will get rid of the virus

3. При получении приглашения на какой-либо канал (команда «Invite»)
вирусный скрипт через 10 секунд переходит на этот канал и затем посылает
сообщение приглашавшему:

Thanks for the invite
I’m a little busy so I can’t talk much now. I thought you might want to
look at this file I got. It has a funny story and also has macros in it
which get rid of any macro viruses. Just enable the macros when the
prompt comes up and it will scan for any viruses and clean them.

За этим сообщением следует файл STORY.DOC.

Вирусный скрипт также оповещяет автора вируса о зараженных компьютерах в
сети. Для этого он при подключении к IRC-серверу добавляет имя «SimpleSmn»
в список оповещения. При появления пользователя с таким именем вирусный
скрипт посылает ему сообщение: «I’m on irc.».

При получении команды «Notice» от пользователя «Simplicity» вирусный скрипт
открывает диск C: на локальнов компьютере как файл-сервер (т.е. фактически
выполняет вункции троянского коня типа Backdoor).

При подключении к IRC-серверу вирус прячет свой скрипт-файл, и
восстанавливает его при отключении от сервера: при подключении переносит
его из C:MIRC в C:WINDOWS и именем SCRIPT1.INI, при отсоединении от
сервера переносит назад.

Вирус также пытается скрыть от пользователя пораженного mIRC факт
заражения, обсуждаемый в сети: блокирует попытки перейти в каналы, в именах
которых есть строки «help» или «nohack»; блокирует сообщения, если в их
тексте есть строки:

script worm virus infect Jack Box macro Story.doc

Если на зараженном клиенте ввести команду «/BY» (которая отсутствует в
стандартных командах IRC), вирус выводит текст:

Mirc Worm Jack-In-The-Box
By SimpleSimon

Каждый раз про появлении в сети сообщений, в которых присутствуют строки
«Hi», «Hey», «Hello» или символ «!» вирус делает попытку разослать пустое
сообщение (spam). Для этого он выбирает случайным образом один из
интернет-адресов и пытается подсоединиться к почтовому серверу на данном
адресе (если таковой существует). Список интернет-адресов выглядит
следующим образом:

mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,
drsolomon.com, www.bocklabs.wisc.edu, ebay.com

Если почтовый сервер доступен, вирус посылает через него spam-сообшение с полями:

mail from: Addr1@Addr2.com
rcpt to: Addr3
to: Addr3
from: Addr1@Addr2.com
Subject: RndText
Message body: Jack-In-The-Box Has Popped Up Again!

где Addr1 и Addr2 являются случайно сгенеренными тестовыми строками длиной
до 8 символов; RndText — случайный текст до 50 символов длиной; Addr3
случайно выбирается из адресов:

evrt@avp.com
samples@datafellows.com
virus_research@nai.com
tech_support@nai.com