Virus.SWScript.LFM

Класс Virus
Платформа SWScript
Описание

Technical Details

этот текст был написан Костин Раю (Costin Raiu) Румыния

Это первый известный вирус, который заражает файлы MacroMedia Shockwave (.SWF). Эти файлы обычно используются для различных видов анимации в сети интернет. Например анимированные электронные карты и поздравительные открытки. Вирус не способен заражать файлы .SWF если он загружен проигрывателем, который поставляется вместе с большинством версий обозревателей Netscape и Internet Explorer. Вирус будет выполняться и размножаться только если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые ограничения стандартного проигрывателя. В настоящий момент этот вирус не был обнаружен в диком виде. Мы считаем что он не сможет распространяться самостоятельно.


Технические детали:

Вирус использует функции скрипт языка, встроенного в файлы .SWF. Он представляет из себя скрипт программу в формате Shockwave-скрипт. Эта скрипт программа создает и запускает файл V.COM размером 926 байт. Для того чтобы создать этот файл скрипт использует внешний системный файл DEBUG.EXE. Вызов DEBUG.EXE работоспособен только для операционный систем Windows NT, 2000 и XP, потому что для его запуска вирус вызывает командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me. Файл V.COM после старта ищет файлы *.SWF в текущем каталоге и записывается в их начало. Вирус проверяет сигнатуру файлов: FWSx99, затем он встраивает новый скрипт со своим телом. Этот новый скрипт выбрасывает и запускает файл
V.COM. При заражении файлов вирус динамически выделяет память в которой сохраняет код оригинального .SWF файла.