Virus.Multi.Fabi

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Multi

Мульти- или кроссплатформенность – способность программного обеспечения работать более чем на одной аппаратной платформе или операционной системе.

Описание

Technical Details

Многоплатформенный вирус. Заражает как исполняемые файлы Windows32 (PE EXE), так и документы MS Word. Как и большинсво многоплатформенных вирусов, данный вирус состоит из нескольких частей, каждая из которых работает в своей среде: в Windows32 как EXE-файл или документе MS Word как макро-вирус. Соответственно, вирус принимает два состояния и может быть обнаружен как PE EXE-вирус в зараженных EXE-файлах Windows и как макро-программа в зараженных документах Word. При активации вируса в EXE-файлах и в документах управление получает соответствующая часть вируса, которая не только заражает файлы текущего "состояния" вируса (файлы Windows или документы Word), но и переносит вирус в его второе состояние: из EXE-файла в Word, и из Word-документа в EXE-файлы Windows.

Вирус не содержит никаких деструктивных функций и никак не проявляет своего присутствия в системе. Зараженные EXE-файлы содержит строки:

(c) Vecna
Parecia inofensiva mas te dominou...

Заражение EXE -> EXE

При запуске зараженного EXE-файла вирус получает управление и проверяет под какой операционной системой он запущен. Если это WindowsNT, то вирус возвращает управление исходной программе. В противном случае (Windows95/98) вирус ищет и заражает все PE EXE-файлы в текущем каталоге, а также в каталогах WINDOWS и WINDOWSSYSTEM на текущем диске. Свое тело вирус дописывает в конец последней секции файла, предварительно увеличив ее размер, и необходимым образом модифицирует PE-заголовок файла. По причине ошибки вирус портит EXE-файлы, если размер их последней секции превышает 64Kb - вирус записывает себя не в конец секции, а в ее середину, в результате чего файл оказывается неработоспособен.

Заражение Macro -> Macro, Macro -> EXE

В Word-документах вирус состоит из одного макроса AutoClose и, соотвественно, переносит свой код в область глобальных макросов при закрытии зараженного документа. Другие документы заражает также при их закрытии. Для переноса макро-кода вируса используются команды редактирования текста макросов.

Для запуска зараженного EXE-файла из зараженного документа макро-компонента вируса использует стандартный прием. Двоичный EXE-код вируса хранится в макросе в шестнадцатеричном текстовом представлении, которое при запуске макроса сохраняется на диск и конвертируется обратно в двоичный выполняемый EXE-формат при помощи специального DOS BAT-файла и DOS-утилиты DEBUG. Полученный при этом EXE-файл запускается затем на выполнение и, таким образом, активизируется EXE-компонента вируса, которая описанным выше методом ищет и заражает другие EXE-файлы.

В известной версии вируса процедура запуска EXE-файла из макроса содержит ошибку, по причине которой данная версия вируса не в состоянии заражать EXE-файлы из документа.

Заражение Exe -> Macro

Процедура переноса вирусного кода из EXE-файла в документы Word получает управление после заражения исполняемых файлов (EXE -> EXE). Вирус использует в ней более сложные приемы, требующие дополнительных временных файлов для хранения "промежуточных" состояний вируса и макро-программ. Всего вирусом создается три основных файла:

FABI.SYS   - зараженный файл-пустышка
FABI.SRC   - исходный текст макро-компоненты вируса и отконвертированный
в текст шестнадцатеричный код EXE-вируса из FABI.SYS
NORMAL.DOT - шаблон с коротким макросом, догружает основной макро-код
вируса из FABI.SRC при старте Word

Вирус создает на диске короткий исполняемый "файл-пустышку" C:FABI.SYS формата выполняемых файлов Windows32 (PE EXE) и заражает его. Затем вирус создает файл C:FABI.SCR, в который записывает исходный текст своего макроса. Затем вирус дописывает к нему двоичные данные файла FABI.SYS, отковертированные в текстовый скрипт (этот скрипт при запуске конвертирует эти данные обратно в EXE-файл, см. "Заражение Macro -> EXE").

В завершение вирус инсталлирует зараженный шаблон NORMAL.DOT в один из системных каталогов. Для этого он ищет файл "NORMAL.DOT" в каталогах:

C:ARQUIV~1/MICROS~?/MODELOS
C:ARCHIV~1/MICROS~?/MODELOS
C:PROGRA~1/MICROS~?/TEMPLA~1

где '?' принимает значения от 1 до 9. Если такой файл обнаружен, он заменяется на другой, хранящийся в теле вируса в упакованном виде (перед записью нового NORMAL.DOT на диск вирус распаковывает его). Шаблон NORMAL.DOT содержит один короткий макрос AutoExec, получающий управление сразу при открытии MS Word. Этот марос импортирует в NORMAL.DOT основной код вируса из C:FABI.SRC, и вирус, таким образом, внедряется в область глобальных макросов Word - в шаблон NORMAL.DOT.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com