Technical Details
Многоплатформенный вирус. Заражает как исполняемые файлы Windows32 (PE
EXE), так и документы MS Word. Как и большинсво многоплатформенных вирусов,
данный вирус состоит из нескольких частей, каждая из которых работает в
своей среде: в Windows32 как EXE-файл или документе MS Word как
макро-вирус. Соответственно, вирус принимает два состояния и может быть
обнаружен как PE EXE-вирус в зараженных EXE-файлах Windows и как
макро-программа в зараженных документах Word. При активации вируса в
EXE-файлах и в документах управление получает соответствующая часть вируса,
которая не только заражает файлы текущего «состояния» вируса (файлы Windows
или документы Word), но и переносит вирус в его второе состояние: из
EXE-файла в Word, и из Word-документа в EXE-файлы Windows.
Вирус не содержит никаких деструктивных функций и никак не проявляет своего
присутствия в системе. Зараженные EXE-файлы содержит строки:
(c) Vecna
Parecia inofensiva mas te dominou…
Заражение EXE -> EXE
При запуске зараженного EXE-файла вирус получает управление и проверяет под
какой операционной системой он запущен. Если это WindowsNT, то вирус
возвращает управление исходной программе. В противном случае (Windows95/98)
вирус ищет и заражает все PE EXE-файлы в текущем каталоге, а также в
каталогах WINDOWS и WINDOWSSYSTEM на текущем диске. Свое тело вирус
дописывает в конец последней секции файла, предварительно увеличив ее
размер, и необходимым образом модифицирует PE-заголовок файла. По причине
ошибки вирус портит EXE-файлы, если размер их последней секции превышает
64Kb — вирус записывает себя не в конец секции, а в ее середину, в
результате чего файл оказывается неработоспособен.
Заражение Macro -> Macro, Macro -> EXE
В Word-документах вирус состоит из одного макроса AutoClose и,
соотвественно, переносит свой код в область глобальных макросов при
закрытии зараженного документа. Другие документы заражает также при их
закрытии. Для переноса макро-кода вируса используются команды
редактирования текста макросов.
Для запуска зараженного EXE-файла из зараженного документа макро-компонента
вируса использует стандартный прием. Двоичный EXE-код вируса хранится в
макросе в шестнадцатеричном текстовом представлении, которое при запуске
макроса сохраняется на диск и конвертируется обратно в двоичный выполняемый
EXE-формат при помощи специального DOS BAT-файла и DOS-утилиты DEBUG.
Полученный при этом EXE-файл запускается затем на выполнение и, таким
образом, активизируется EXE-компонента вируса, которая описанным выше
методом ищет и заражает другие EXE-файлы.
В известной версии вируса процедура запуска EXE-файла из макроса содержит
ошибку, по причине которой данная версия вируса не в состоянии заражать EXE-файлы из документа.
Заражение Exe -> Macro
Процедура переноса вирусного кода из EXE-файла в документы Word получает
управление после заражения исполняемых файлов (EXE -> EXE). Вирус
использует в ней более сложные приемы, требующие дополнительных временных
файлов для хранения «промежуточных» состояний вируса и макро-программ.
Всего вирусом создается три основных файла:
FABI.SYS — зараженный файл-пустышка
FABI.SRC — исходный текст макро-компоненты вируса и отконвертированный
в текст шестнадцатеричный код EXE-вируса из FABI.SYS
NORMAL.DOT — шаблон с коротким макросом, догружает основной макро-код
вируса из FABI.SRC при старте Word
Вирус создает на диске короткий исполняемый «файл-пустышку» C:FABI.SYS
формата выполняемых файлов Windows32 (PE EXE) и заражает его. Затем вирус
создает файл C:FABI.SCR, в который записывает исходный текст своего
макроса. Затем вирус дописывает к нему двоичные данные файла FABI.SYS,
отковертированные в текстовый скрипт (этот скрипт при запуске конвертирует
эти данные обратно в EXE-файл, см. «Заражение Macro -> EXE»).
В завершение вирус инсталлирует зараженный шаблон NORMAL.DOT в один из
системных каталогов. Для этого он ищет файл «NORMAL.DOT» в каталогах:
C:ARQUIV~1/MICROS~?/MODELOS
C:ARCHIV~1/MICROS~?/MODELOS
C:PROGRA~1/MICROS~?/TEMPLA~1
где ‘?’ принимает значения от 1 до 9. Если такой файл обнаружен, он
заменяется на другой, хранящийся в теле вируса в упакованном виде (перед
записью нового NORMAL.DOT на диск вирус распаковывает его). Шаблон
NORMAL.DOT содержит один короткий макрос AutoExec, получающий управление
сразу при открытии MS Word. Этот марос импортирует в NORMAL.DOT основной
код вируса из C:FABI.SRC, и вирус, таким образом, внедряется в область
глобальных макросов Word — в шаблон NORMAL.DOT.
|