Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu makro virüsü, iki Office97 uygulamasını bozar: Word belgeleri ve Excel sayfaları. Farklı Office97 uygulamalarıyla uyumlu olması için virüs, VisualBasic uyumluluğunu kullanır ve hem Word hem de Excel'de aynı kodu kullanır.

Virüs, dosyalar açıldığında sistemi, belgeleri ve sayfaları bozar (Word'de Auto-makro Otomatik Aç ve Excel'de Otomatik Aç). Virüs bulaşırken C: SHIVER.SYS dosyası aracılığıyla Export / import Office97 işlevlerini kullanır. Kodunu oraya yazar (dışa aktarır) ve daha sonra bulaşan bir nesneye okur (içe aktarır).

Hem Word hem de Excel altında virüs standart hileler kullanarak kendini tekrarlar. Word dosyalarına bulaşırken virüs, kodunu kendi belgesine veya genel makro alanına (NORMAL.DOT) kopyalar. Excel'in altında virüs, sayfa etkinleştirme işlemini kancalar ve işleyici olarak ShiverTime enfeksiyon makrolarını ayarlar. Virüs, virüs bulaşmış PERSONAL.XLS dosyasını Excel başlangıç dizinine kaydeder ve sonuç olarak sistem Excel alanını bozar.

Bir Word (AutoExit) bırakarak virüs, kodunu Word'den Excel'e yaymaya çalışır. Virüs, DDE işlevlerini kullanır: Excel'i küçültülmüş pencerelerde çalıştırır ve Excel başlangıç dizininde virüslü PERSONAL.XLS dosyasını oluşturmak için gerekli veri ve komutları iletir. Virüs, Word'ü Excel'den benzer şekilde kullanarak enfekte eder: Word'ü küçültür, Visual Basic Editor'u açar ve kodunu C: SHIVER.SYS dosyasından okur.

Virüs bulaştıktan sonra C: SHIVER.SYS dosyasını silmez ve ana virüs kodu (dezenfekte edilmiş) belgeler ve NORMAL.DOT silinmişse Word'ü yeniden enfekte etmek için kullanır. Bunu yapmak için her Word'deki virüs, Word başlangıç dizinindeki WORD8.DOT dosyasını arar. Böyle bir dosya yoksa, virüs oluşturur ve orada kısa bir FileSaveAs makro yazar. Bu makro, virüs kodunu C: SHIVER.SYS'den yeni adla kaydedilen belgelere içe aktaran birkaç komut içerir. Sonuç olarak, tüm belgeler ve NORMAL.DOT dezenfekte edilirse virüs aktif kalır. Virüs, WORD8.DOT damlalığı oluşturmak için aynı dışa aktarma / içe aktarma yolunu kullanır, C: SENTRY.SYS dosyası kullanılan bir kaynak kod belleği olarak kullanılır.

Sistemdeki varlığını algılamak için virüs sistem kayıt defterini kullanır ve ID değerlerini "HKEY_CURRENT_USERSoftwareVB ve VBA Program SettingsOffice8.0" anahtarına yazar. Sistemde virüs varlığını / yokluğunu işaret eden iki değer vardır:



Titreme [DDE] = ALT-F11

Titreme [DDE] = NoNos (

Sistem rastgele sayıcıya bağlı olarak, virüs bu notayı "NoNos" (Sıfırla) olarak sıfırlar ve enfeksiyon rutinlerini Word ve Excel başlangıç dizinlerindeki virüslü WORD8.DOT ve PERSONAL.XLS'lerini yenilemeye zorlar.

Virüs dahili

Virüs bir "Module1" de 18 makro içerir:



AutoExec – Word otomatik işlevi, Word yeniden bulaşma yordamını içerir

AutoOpen – Word otomatik işlevi, Word docs bulaşma yordamını içerir

WordStealth – stealth makrolarını ekler ToolsMacro, FileTemplates, ViewVBCode

Word genel makrolarına (NORMAL.DOT)

AutoExit – Word otomatik işlevi, Excel'i bozar

FindExcel – Excel arama rutinini

PersonalFun – Excel bulaşmasında kullanılır

CheckMarker – "Burada mısın?" işlevi, kayıt defterini denetler.

MakeMarker – virüs kimliğini Kayıt Defterine yazar

PXL_Done – Excel bulaşmasında kullanılır

Auto_Open – Excel otomatik işlevi, sayfa etkinleştirme yordamını kancalar

ShiverTime – yaprak aktivasyonu fahişe ve enfektör

wdTrigger – Word tetikleyici rutini

xlTrigger – Excel tetikleyici rutini

Auto_Close – Excel otomatik işlevi, virüsü Word'e yayar

gecikme – Word enfeksiyonunda kullanılır

wdReEvalInfection – Excel startup-dir'deki enfekte PERSONAL.XLS dosyasını arar

xlReEvalInfection – Word başlangıçta bulaşmış WORD8.DOT için görünüyor

DDE_Info – hiçbir şey yapmaz makro, "telif hakkı" içerir:

ALT-F3 yardımı ile ALT-F11 yardımı ile Shiver [DDE]

Bu Alternatif Virüs Mafya (AVM) tarafından üretilen ilk virüs

ALT-F4 – "Ölmek için doğdum"

ALT-F11 – "Düşünceleri olmayan eylemler"

Tetik rutinleri

Virüsün gizli yetenekleri var. Excel altında, Pencere / Gösterme … ve Araçlar / Makro menü öğelerini devre dışı bırakır. Word altında, aynı zamanda NORMAL.DOT içinde gizli makrolar oluşturur: ToolsMacro, FileTemplates, ViewVBCode "ThisDocument" modülünde. Sonuç olarak virüs kodu gizler. Virüs ayrıca Office97 virüs korumasını da devre dışı bırakır.

Sistem rastgele sayıcıya bağlı olarak virüs aşağıdaki efektleri çalıştırır:

Excel'de rastgele seçilen hücreye yorumlar ekler:
```
ALT-F11 tarafından Shiver [DDE]
```

Word'de C: SISTER.DLL dosyasını oluşturur, metni buraya yazar ve bunu göstermek için WRITE çalıştırır:



Hey dostum, kız kardeşini sevdim

Hey dostum, umarım çok havalıdır

Hey dostum, aklımdan kaçırım

Kardeşini Bulduğum Her Tek Bir Zamanda

Havuz kenarında bronzlaşmış

Hey dostum, onu çıplak görmek istiyorum

Hey Adamım, Herzaman Onun Odamda

Kimse Hiç Olmadığında Yalnız

İç çamaşırlarıyla gidiyor

Hey dostum, yakında görüşürüz

Hey adam, onu hamile bırakmayacağım

Ama hey adam, ona nasıl dayanabilirim

Ona Bir Düğün Bandını Verdiğim Gün

En iyi erkeğim olacak mısın?

Hey dostum, kız kardeşini sevdim

Kız kardeşine benziyorum

Kız kardeşine benziyorum

Onu sevdim

Word'de menü öğelerini yeniden adlandırır:



Araçlar / Makro = "ALT-F11 tarafından" Shiver [DDE] "

Dosya / Sürümler … = "Cum Stained Sheets …"

Düzenle / Yapıştır Özel … = "Hey Anneni Yaptım Hey …"

Insert / Break … = "Bazı MDMA yapmak ister misiniz?"

Yardım / Microsoft Word Hakkında = "Barış, Sevgi ve İlaçlar"

Dosya / Özellikler = "Mutlu olacağım, sadece öleceksin"

Düzenle / Git … = "Heywood Jablowmi"

Araçlar / Kelime Sayısı … = "Vücut Sayısı"

Biçim / Yazı Tipi … = "Cunt"

Dosya / Kapat = "Kıyafet Yok"

Pencere / Bölme = "Beni Uçur"

Insert / Resim = "Crusty Porn GIF"

Dosya / Yazdır … = "Toplarım Kaşıntı"

Biçim / Madde İşaretleri ve Numaraları … = "Hap ve İğneler"

Tablo / Ek Tablo … = "Ekle ve Sonda"

Araçlar / Özelleştir … = "Sodomize …"

Araçlar / Yazım ve Dilbilgisi … = "Yazım ve Büyükannen …"

Görünüm / Araç Çubukları = "Gaybars"

Görünüm / Ana Belge = "Mastürbasyon"

Orijinaline link

Sınıf	Virus
Platform	MSOffice
Açıklama	Teknik detaylar Bu makro virüsü, iki Office97 uygulamasını bozar: Word belgeleri ve Excel sayfaları. Farklı Office97 uygulamalarıyla uyumlu olması için virüs, VisualBasic uyumluluğunu kullanır ve hem Word hem de Excel'de aynı kodu kullanır. Virüs, dosyalar açıldığında sistemi, belgeleri ve sayfaları bozar (Word'de Auto-makro Otomatik Aç ve Excel'de Otomatik Aç). Virüs bulaşırken C: SHIVER.SYS dosyası aracılığıyla Export / import Office97 işlevlerini kullanır. Kodunu oraya yazar (dışa aktarır) ve daha sonra bulaşan bir nesneye okur (içe aktarır). Hem Word hem de Excel altında virüs standart hileler kullanarak kendini tekrarlar. Word dosyalarına bulaşırken virüs, kodunu kendi belgesine veya genel makro alanına (NORMAL.DOT) kopyalar. Excel'in altında virüs, sayfa etkinleştirme işlemini kancalar ve işleyici olarak ShiverTime enfeksiyon makrolarını ayarlar. Virüs, virüs bulaşmış PERSONAL.XLS dosyasını Excel başlangıç dizinine kaydeder ve sonuç olarak sistem Excel alanını bozar. Bir Word (AutoExit) bırakarak virüs, kodunu Word'den Excel'e yaymaya çalışır. Virüs, DDE işlevlerini kullanır: Excel'i küçültülmüş pencerelerde çalıştırır ve Excel başlangıç dizininde virüslü PERSONAL.XLS dosyasını oluşturmak için gerekli veri ve komutları iletir. Virüs, Word'ü Excel'den benzer şekilde kullanarak enfekte eder: Word'ü küçültür, Visual Basic Editor'u açar ve kodunu C: SHIVER.SYS dosyasından okur. Virüs bulaştıktan sonra C: SHIVER.SYS dosyasını silmez ve ana virüs kodu (dezenfekte edilmiş) belgeler ve NORMAL.DOT silinmişse Word'ü yeniden enfekte etmek için kullanır. Bunu yapmak için her Word'deki virüs, Word başlangıç dizinindeki WORD8.DOT dosyasını arar. Böyle bir dosya yoksa, virüs oluşturur ve orada kısa bir FileSaveAs makro yazar. Bu makro, virüs kodunu C: SHIVER.SYS'den yeni adla kaydedilen belgelere içe aktaran birkaç komut içerir. Sonuç olarak, tüm belgeler ve NORMAL.DOT dezenfekte edilirse virüs aktif kalır. Virüs, WORD8.DOT damlalığı oluşturmak için aynı dışa aktarma / içe aktarma yolunu kullanır, C: SENTRY.SYS dosyası kullanılan bir kaynak kod belleği olarak kullanılır. Sistemdeki varlığını algılamak için virüs sistem kayıt defterini kullanır ve ID değerlerini "HKEY_CURRENT_USERSoftwareVB ve VBA Program SettingsOffice8.0" anahtarına yazar. Sistemde virüs varlığını / yokluğunu işaret eden iki değer vardır: Titreme [DDE] = ALT-F11 Titreme [DDE] = NoNos ( Sistem rastgele sayıcıya bağlı olarak, virüs bu notayı "NoNos" (Sıfırla) olarak sıfırlar ve enfeksiyon rutinlerini Word ve Excel başlangıç dizinlerindeki virüslü WORD8.DOT ve PERSONAL.XLS'lerini yenilemeye zorlar. Virüs dahili Virüs bir "Module1" de 18 makro içerir: AutoExec – Word otomatik işlevi, Word yeniden bulaşma yordamını içerir AutoOpen – Word otomatik işlevi, Word docs bulaşma yordamını içerir WordStealth – stealth makrolarını ekler ToolsMacro, FileTemplates, ViewVBCode Word genel makrolarına (NORMAL.DOT) AutoExit – Word otomatik işlevi, Excel'i bozar FindExcel – Excel arama rutinini PersonalFun – Excel bulaşmasında kullanılır CheckMarker – "Burada mısın?" işlevi, kayıt defterini denetler. MakeMarker – virüs kimliğini Kayıt Defterine yazar PXL_Done – Excel bulaşmasında kullanılır Auto_Open – Excel otomatik işlevi, sayfa etkinleştirme yordamını kancalar ShiverTime – yaprak aktivasyonu fahişe ve enfektör wdTrigger – Word tetikleyici rutini xlTrigger – Excel tetikleyici rutini Auto_Close – Excel otomatik işlevi, virüsü Word'e yayar gecikme – Word enfeksiyonunda kullanılır wdReEvalInfection – Excel startup-dir'deki enfekte PERSONAL.XLS dosyasını arar xlReEvalInfection – Word başlangıçta bulaşmış WORD8.DOT için görünüyor DDE_Info – hiçbir şey yapmaz makro, "telif hakkı" içerir: ALT-F3 yardımı ile ALT-F11 yardımı ile Shiver [DDE] Bu Alternatif Virüs Mafya (AVM) tarafından üretilen ilk virüs ALT-F4 – "Ölmek için doğdum" ALT-F11 – "Düşünceleri olmayan eylemler" Tetik rutinleri Virüsün gizli yetenekleri var. Excel altında, Pencere / Gösterme … ve Araçlar / Makro menü öğelerini devre dışı bırakır. Word altında, aynı zamanda NORMAL.DOT içinde gizli makrolar oluşturur: ToolsMacro, FileTemplates, ViewVBCode "ThisDocument" modülünde. Sonuç olarak virüs kodu gizler. Virüs ayrıca Office97 virüs korumasını da devre dışı bırakır. Sistem rastgele sayıcıya bağlı olarak virüs aşağıdaki efektleri çalıştırır: Excel'de rastgele seçilen hücreye yorumlar ekler: ALT-F11 tarafından Shiver [DDE] Word'de C: SISTER.DLL dosyasını oluşturur, metni buraya yazar ve bunu göstermek için WRITE çalıştırır: Hey dostum, kız kardeşini sevdim Hey dostum, umarım çok havalıdır Hey dostum, aklımdan kaçırım Kardeşini Bulduğum Her Tek Bir Zamanda Havuz kenarında bronzlaşmış Hey dostum, onu çıplak görmek istiyorum Hey Adamım, Herzaman Onun Odamda Kimse Hiç Olmadığında Yalnız İç çamaşırlarıyla gidiyor Hey dostum, yakında görüşürüz Hey adam, onu hamile bırakmayacağım Ama hey adam, ona nasıl dayanabilirim Ona Bir Düğün Bandını Verdiğim Gün En iyi erkeğim olacak mısın? Hey dostum, kız kardeşini sevdim Kız kardeşine benziyorum Kız kardeşine benziyorum Onu sevdim Word'de menü öğelerini yeniden adlandırır: Araçlar / Makro = "ALT-F11 tarafından" Shiver [DDE] " Dosya / Sürümler … = "Cum Stained Sheets …" Düzenle / Yapıştır Özel … = "Hey Anneni Yaptım Hey …" Insert / Break … = "Bazı MDMA yapmak ister misiniz?" Yardım / Microsoft Word Hakkında = "Barış, Sevgi ve İlaçlar" Dosya / Özellikler = "Mutlu olacağım, sadece öleceksin" Düzenle / Git … = "Heywood Jablowmi" Araçlar / Kelime Sayısı … = "Vücut Sayısı" Biçim / Yazı Tipi … = "Cunt" Dosya / Kapat = "Kıyafet Yok" Pencere / Bölme = "Beni Uçur" Insert / Resim = "Crusty Porn GIF" Dosya / Yazdır … = "Toplarım Kaşıntı" Biçim / Madde İşaretleri ve Numaraları … = "Hap ve İğneler" Tablo / Ek Tablo … = "Ekle ve Sonda" Araçlar / Özelleştir … = "Sodomize …" Araçlar / Yazım ve Dilbilgisi … = "Yazım ve Büyükannen …" Görünüm / Araç Çubukları = "Gaybars" Görünüm / Ana Belge = "Mastürbasyon"
	Orijinaline link

Virus.MSOffice.Shiver

Teknik detaylar

Virüs dahili

Tetik rutinleri