Virus.Multi.Angela

Technical Details

Многоплатформенный вирус: заражает MBR винчестера, boot-сектора дискет,
DOS EXE-файлы. Также рассылает себя в виде вложений в письма электронной
почты при помощи MS Outlook; посылает свои копии в IRC-каналы при помощи
клиента mIRC. Т.е. вирус может попасть на компьютер с зараженной дискеты,
на зараженном EXE-файле, из прикрепленного к письму вложения и из
IRC-канала.

Вирус никак не проявляет себя за исключением одного — он уничтожает файл:

C:WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

Это требуется вирусу для того, чтобы Windows при работе с дискетами
использовала «старый метод» (работа при помощи INT 13h). Это требуется
вирусу для заражения дискет (см. ниже).

Загрузка с пораженного диска

При загрузке с зараженного диска вирус перехватывает INT 13h (дисковые
операции) и INT 1Ch (таймер). Пользуясь перехватом таймера вирус ждет
момента завершения загрузки операционной системы, перехватывает INT 21h
(DOS-функции) и затем заражает запускаемые DOS EXE-файлы.

Перехватчик INT 13h следит за работой с дисками, заражает дискеты и
реализует {стелс:Stealth}-функции при чтении MBR и boot-секторов с
зараженных дисков.

Запуск зараженного EXE-файла

При запуске из DOS EXE-файла вирус записывается в MBR винчестера, создает
отдельный файл-дроппер ANGELA.EXE (этот «дроппер» является DOS EXE-файлом)
и записывает команды его автоматического запуска в файл C:AUTOEXEC.BAT:

@ECHO OFF
c:windowssystemangela.exe
REM — DO NOT REMOVE!

Вирусный «дроппер» создается только в каталоге C:WINDOWS. По этой причине
вирус не способен рассылать зараженные письма и заражать IRC-каналы, если
Windows установлена в другом каталоге.

Затем вирус создает файл ANGELA.VBS в каталоге авто-запуска Windows (этот
файл рассылает копии вируса в письмах электронной почты) и создает
скрипт-файл SCRIPT.INI в каталоге клиента mIRC C:MIRC (этот файл рассылает
вирус в IRC-каналы).

«Дроппер» вируса ANGELA.EXE при старте делает все то же, что и вирус в
зараженных файлах — заражает MBR, создает файлы ANGELA.VBS и ANGELA.INI.
Таким образом, если эти файлы оказываются удаленными, вирус создает их
снова при следующей перезагрузке системы.

Рассылка писем

Скрипт-файл ANGELA.VBS создается вирусом в каталоге авто-запуска Windows и,
соответственно, активизируется при каждой загрузке Windows. Этот скрипт
открывает MS Outlook, выбирает первые 20 адресов из адресной книги и
рассылает по этим адресам свои копии (файл-дроппер ANGELA.EXE),
прикрепленными к письму, которое имеет:

Тема: Finally found it!
Текст письма: Here are the files you asked me for…

Скрипт-программа затем удаляет свой VBS-файл (ANGELA.VBS) и до перезагрузки
Windows письма более не отсылаются. Однако при следующей перезагрузке
компьютера «дроппер» ANGELA.EXE получает управление из AUTOEXEC.BAT и
заново созжает файл ANGELA.VBS. Таким образом, по 20 писем отылаются при
каждой перезагрузке компьютера.

Заражение IRC-каналов

Вирус создает управляющий скрипт SCRIPT.INI в каталоге C:MIRC. Этот скрипт
отсылает файл ANGELA.EXE всем пользователям, подключающимся к зараженному
каналу.