Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Многоплатформенный вирус. Заражает как исполняемые файлы Windows32 (PE
EXE), так и документы MS Word. Как и большинсво многоплатформенных вирусов,
данный вирус состоит из нескольких частей, каждая из которых работает в
своей среде: в Windows32 как EXE-файл или документе MS Word как
макро-вирус. Соответственно, вирус принимает два состояния и может быть
обнаружен как PE EXE-вирус в зараженных EXE-файлах Windows и как
макро-программа в зараженных документах Word. При активации вируса в
EXE-файлах и в документах управление получает соответствующая часть вируса,
которая не только заражает файлы текущего «состояния» вируса (файлы Windows
или документы Word), но и переносит вирус в его второе состояние: из
EXE-файла в Word, и из Word-документа в EXE-файлы Windows.

Вирус не содержит никаких деструктивных функций и никак не проявляет своего
присутствия в системе. Зараженные EXE-файлы содержит строки:



(c) Vecna

Parecia inofensiva mas te dominou…

Заражение EXE -> EXE

При запуске зараженного EXE-файла вирус получает управление и проверяет под
какой операционной системой он запущен. Если это WindowsNT, то вирус
возвращает управление исходной программе. В противном случае (Windows95/98)
вирус ищет и заражает все PE EXE-файлы в текущем каталоге, а также в
каталогах WINDOWS и WINDOWSSYSTEM на текущем диске. Свое тело вирус
дописывает в конец последней секции файла, предварительно увеличив ее
размер, и необходимым образом модифицирует PE-заголовок файла. По причине
ошибки вирус портит EXE-файлы, если размер их последней секции превышает
64Kb — вирус записывает себя не в конец секции, а в ее середину, в
результате чего файл оказывается неработоспособен.

Заражение Macro -> Macro, Macro -> EXE

В Word-документах вирус состоит из одного макроса AutoClose и,
соотвественно, переносит свой код в область глобальных макросов при
закрытии зараженного документа. Другие документы заражает также при их
закрытии. Для переноса макро-кода вируса используются команды
редактирования текста макросов.

Для запуска зараженного EXE-файла из зараженного документа макро-компонента
вируса использует стандартный прием. Двоичный EXE-код вируса хранится в
макросе в шестнадцатеричном текстовом представлении, которое при запуске
макроса сохраняется на диск и конвертируется обратно в двоичный выполняемый
EXE-формат при помощи специального DOS BAT-файла и DOS-утилиты DEBUG.
Полученный при этом EXE-файл запускается затем на выполнение и, таким
образом, активизируется EXE-компонента вируса, которая описанным выше
методом ищет и заражает другие EXE-файлы.

В известной версии вируса процедура запуска EXE-файла из макроса содержит
ошибку, по причине которой данная версия вируса не в состоянии заражать EXE-файлы из документа.

Заражение Exe -> Macro

Процедура переноса вирусного кода из EXE-файла в документы Word получает
управление после заражения исполняемых файлов (EXE -> EXE). Вирус
использует в ней более сложные приемы, требующие дополнительных временных
файлов для хранения «промежуточных» состояний вируса и макро-программ.
Всего вирусом создается три основных файла:



FABI.SYS   — зараженный файл-пустышка

FABI.SRC   — исходный текст макро-компоненты вируса и отконвертированный

в текст шестнадцатеричный код EXE-вируса из FABI.SYS

NORMAL.DOT — шаблон с коротким макросом, догружает основной макро-код

вируса из FABI.SRC при старте Word

Вирус создает на диске короткий исполняемый «файл-пустышку» C:FABI.SYS
формата выполняемых файлов Windows32 (PE EXE) и заражает его. Затем вирус
создает файл C:FABI.SCR, в который записывает исходный текст своего
макроса. Затем вирус дописывает к нему двоичные данные файла FABI.SYS,
отковертированные в текстовый скрипт (этот скрипт при запуске конвертирует
эти данные обратно в EXE-файл, см. «Заражение Macro -> EXE»).

В завершение вирус инсталлирует зараженный шаблон NORMAL.DOT в один из
системных каталогов. Для этого он ищет файл «NORMAL.DOT» в каталогах:



C:ARQUIV~1/MICROS~?/MODELOS

C:ARCHIV~1/MICROS~?/MODELOS

C:PROGRA~1/MICROS~?/TEMPLA~1

где ‘?’ принимает значения от 1 до 9. Если такой файл обнаружен, он
заменяется на другой, хранящийся в теле вируса в упакованном виде (перед
записью нового NORMAL.DOT на диск вирус распаковывает его). Шаблон
NORMAL.DOT содержит один короткий макрос AutoExec, получающий управление
сразу при открытии MS Word. Этот марос импортирует в NORMAL.DOT основной
код вируса из C:FABI.SRC, и вирус, таким образом, внедряется в область
глобальных макросов Word — в шаблон NORMAL.DOT.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Multi
Описание	Technical Details Многоплатформенный вирус. Заражает как исполняемые файлы Windows32 (PE EXE), так и документы MS Word. Как и большинсво многоплатформенных вирусов, данный вирус состоит из нескольких частей, каждая из которых работает в своей среде: в Windows32 как EXE-файл или документе MS Word как макро-вирус. Соответственно, вирус принимает два состояния и может быть обнаружен как PE EXE-вирус в зараженных EXE-файлах Windows и как макро-программа в зараженных документах Word. При активации вируса в EXE-файлах и в документах управление получает соответствующая часть вируса, которая не только заражает файлы текущего «состояния» вируса (файлы Windows или документы Word), но и переносит вирус в его второе состояние: из EXE-файла в Word, и из Word-документа в EXE-файлы Windows. Вирус не содержит никаких деструктивных функций и никак не проявляет своего присутствия в системе. Зараженные EXE-файлы содержит строки: (c) Vecna Parecia inofensiva mas te dominou… Заражение EXE -> EXE При запуске зараженного EXE-файла вирус получает управление и проверяет под какой операционной системой он запущен. Если это WindowsNT, то вирус возвращает управление исходной программе. В противном случае (Windows95/98) вирус ищет и заражает все PE EXE-файлы в текущем каталоге, а также в каталогах WINDOWS и WINDOWSSYSTEM на текущем диске. Свое тело вирус дописывает в конец последней секции файла, предварительно увеличив ее размер, и необходимым образом модифицирует PE-заголовок файла. По причине ошибки вирус портит EXE-файлы, если размер их последней секции превышает 64Kb — вирус записывает себя не в конец секции, а в ее середину, в результате чего файл оказывается неработоспособен. Заражение Macro -> Macro, Macro -> EXE В Word-документах вирус состоит из одного макроса AutoClose и, соотвественно, переносит свой код в область глобальных макросов при закрытии зараженного документа. Другие документы заражает также при их закрытии. Для переноса макро-кода вируса используются команды редактирования текста макросов. Для запуска зараженного EXE-файла из зараженного документа макро-компонента вируса использует стандартный прием. Двоичный EXE-код вируса хранится в макросе в шестнадцатеричном текстовом представлении, которое при запуске макроса сохраняется на диск и конвертируется обратно в двоичный выполняемый EXE-формат при помощи специального DOS BAT-файла и DOS-утилиты DEBUG. Полученный при этом EXE-файл запускается затем на выполнение и, таким образом, активизируется EXE-компонента вируса, которая описанным выше методом ищет и заражает другие EXE-файлы. В известной версии вируса процедура запуска EXE-файла из макроса содержит ошибку, по причине которой данная версия вируса не в состоянии заражать EXE-файлы из документа. Заражение Exe -> Macro Процедура переноса вирусного кода из EXE-файла в документы Word получает управление после заражения исполняемых файлов (EXE -> EXE). Вирус использует в ней более сложные приемы, требующие дополнительных временных файлов для хранения «промежуточных» состояний вируса и макро-программ. Всего вирусом создается три основных файла: FABI.SYS — зараженный файл-пустышка FABI.SRC — исходный текст макро-компоненты вируса и отконвертированный в текст шестнадцатеричный код EXE-вируса из FABI.SYS NORMAL.DOT — шаблон с коротким макросом, догружает основной макро-код вируса из FABI.SRC при старте Word Вирус создает на диске короткий исполняемый «файл-пустышку» C:FABI.SYS формата выполняемых файлов Windows32 (PE EXE) и заражает его. Затем вирус создает файл C:FABI.SCR, в который записывает исходный текст своего макроса. Затем вирус дописывает к нему двоичные данные файла FABI.SYS, отковертированные в текстовый скрипт (этот скрипт при запуске конвертирует эти данные обратно в EXE-файл, см. «Заражение Macro -> EXE»). В завершение вирус инсталлирует зараженный шаблон NORMAL.DOT в один из системных каталогов. Для этого он ищет файл «NORMAL.DOT» в каталогах: C:ARQUIV~1/MICROS~?/MODELOS C:ARCHIV~1/MICROS~?/MODELOS C:PROGRA~1/MICROS~?/TEMPLA~1 где ‘?’ принимает значения от 1 до 9. Если такой файл обнаружен, он заменяется на другой, хранящийся в теле вируса в упакованном виде (перед записью нового NORMAL.DOT на диск вирус распаковывает его). Шаблон NORMAL.DOT содержит один короткий макрос AutoExec, получающий управление сразу при открытии MS Word. Этот марос импортирует в NORMAL.DOT основной код вируса из C:FABI.SRC, и вирус, таким образом, внедряется в область глобальных макросов Word — в шаблон NORMAL.DOT.
	Узнай статистику распространения угроз в твоем регионе

Virus.Multi.Fabi

Technical Details

Заражение EXE -> EXE

Заражение Macro -> Macro, Macro -> EXE

Заражение Exe -> Macro