BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.MSOffice.Shiver

Sınıf Virus
Platform MSOffice
Açıklama

Teknik detaylar

Bu makro virüsü, iki Office97 uygulamasını bozar: Word belgeleri ve Excel sayfaları. Farklı Office97 uygulamalarıyla uyumlu olması için virüs, VisualBasic uyumluluğunu kullanır ve hem Word hem de Excel'de aynı kodu kullanır.

Virüs, dosyalar açıldığında sistemi, belgeleri ve sayfaları bozar (Word'de Auto-makro Otomatik Aç ve Excel'de Otomatik Aç). Virüs bulaşırken C: SHIVER.SYS dosyası aracılığıyla Export / import Office97 işlevlerini kullanır. Kodunu oraya yazar (dışa aktarır) ve daha sonra bulaşan bir nesneye okur (içe aktarır).

Hem Word hem de Excel altında virüs standart hileler kullanarak kendini tekrarlar. Word dosyalarına bulaşırken virüs, kodunu kendi belgesine veya genel makro alanına (NORMAL.DOT) kopyalar. Excel'in altında virüs, sayfa etkinleştirme işlemini kancalar ve işleyici olarak ShiverTime enfeksiyon makrolarını ayarlar. Virüs, virüs bulaşmış PERSONAL.XLS dosyasını Excel başlangıç ​​dizinine kaydeder ve sonuç olarak sistem Excel alanını bozar.

Bir Word (AutoExit) bırakarak virüs, kodunu Word'den Excel'e yaymaya çalışır. Virüs, DDE işlevlerini kullanır: Excel'i küçültülmüş pencerelerde çalıştırır ve Excel başlangıç ​​dizininde virüslü PERSONAL.XLS dosyasını oluşturmak için gerekli veri ve komutları iletir. Virüs, Word'ü Excel'den benzer şekilde kullanarak enfekte eder: Word'ü küçültür, Visual Basic Editor'u açar ve kodunu C: SHIVER.SYS dosyasından okur.

Virüs bulaştıktan sonra C: SHIVER.SYS dosyasını silmez ve ana virüs kodu (dezenfekte edilmiş) belgeler ve NORMAL.DOT silinmişse Word'ü yeniden enfekte etmek için kullanır. Bunu yapmak için her Word'deki virüs, Word başlangıç ​​dizinindeki WORD8.DOT dosyasını arar. Böyle bir dosya yoksa, virüs oluşturur ve orada kısa bir FileSaveAs makro yazar. Bu makro, virüs kodunu C: SHIVER.SYS'den yeni adla kaydedilen belgelere içe aktaran birkaç komut içerir. Sonuç olarak, tüm belgeler ve NORMAL.DOT dezenfekte edilirse virüs aktif kalır. Virüs, WORD8.DOT damlalığı oluşturmak için aynı dışa aktarma / içe aktarma yolunu kullanır, C: SENTRY.SYS dosyası kullanılan bir kaynak kod belleği olarak kullanılır.

Sistemdeki varlığını algılamak için virüs sistem kayıt defterini kullanır ve ID değerlerini "HKEY_CURRENT_USERSoftwareVB ve VBA Program SettingsOffice8.0" anahtarına yazar. Sistemde virüs varlığını / yokluğunu işaret eden iki değer vardır:


Titreme [DDE] = ALT-F11
Titreme [DDE] = NoNos (
Sistem rastgele sayıcıya bağlı olarak, virüs bu notayı "NoNos" (Sıfırla) olarak sıfırlar ve enfeksiyon rutinlerini Word ve Excel başlangıç ​​dizinlerindeki virüslü WORD8.DOT ve PERSONAL.XLS'lerini yenilemeye zorlar.

Virüs dahili

Virüs bir "Module1" de 18 makro içerir:

AutoExec – Word otomatik işlevi, Word yeniden bulaşma yordamını içerir
AutoOpen – Word otomatik işlevi, Word docs bulaşma yordamını içerir
WordStealth – stealth makrolarını ekler ToolsMacro, FileTemplates, ViewVBCode
Word genel makrolarına (NORMAL.DOT)
AutoExit – Word otomatik işlevi, Excel'i bozar
FindExcel – Excel arama rutinini
PersonalFun – Excel bulaşmasında kullanılır
CheckMarker – "Burada mısın?" işlevi, kayıt defterini denetler.
MakeMarker – virüs kimliğini Kayıt Defterine yazar
PXL_Done – Excel bulaşmasında kullanılır
Auto_Open – Excel otomatik işlevi, sayfa etkinleştirme yordamını kancalar
ShiverTime – yaprak aktivasyonu fahişe ve enfektör
wdTrigger – Word tetikleyici rutini
xlTrigger – Excel tetikleyici rutini
Auto_Close – Excel otomatik işlevi, virüsü Word'e yayar
gecikme – Word enfeksiyonunda kullanılır
wdReEvalInfection – Excel startup-dir'deki enfekte PERSONAL.XLS dosyasını arar
xlReEvalInfection – Word başlangıçta bulaşmış WORD8.DOT için görünüyor
DDE_Info – hiçbir şey yapmaz makro, "telif hakkı" içerir:
ALT-F3 yardımı ile ALT-F11 yardımı ile Shiver [DDE]
Bu Alternatif Virüs Mafya (AVM) tarafından üretilen ilk virüs
ALT-F4 – "Ölmek için doğdum"
ALT-F11 – "Düşünceleri olmayan eylemler"

Tetik rutinleri

Virüsün gizli yetenekleri var. Excel altında, Pencere / Gösterme … ve Araçlar / Makro menü öğelerini devre dışı bırakır. Word altında, aynı zamanda NORMAL.DOT içinde gizli makrolar oluşturur: ToolsMacro, FileTemplates, ViewVBCode "ThisDocument" modülünde. Sonuç olarak virüs kodu gizler. Virüs ayrıca Office97 virüs korumasını da devre dışı bırakır.

Sistem rastgele sayıcıya bağlı olarak virüs aşağıdaki efektleri çalıştırır:

  • Excel'de rastgele seçilen hücreye yorumlar ekler:

    ALT-F11 tarafından Shiver [DDE]
  • Word'de C: SISTER.DLL dosyasını oluşturur, metni buraya yazar ve bunu göstermek için WRITE çalıştırır:

    Hey dostum, kız kardeşini sevdim
    Hey dostum, umarım çok havalıdır
    Hey dostum, aklımdan kaçırım
    Kardeşini Bulduğum Her Tek Bir Zamanda
    Havuz kenarında bronzlaşmış
    Hey dostum, onu çıplak görmek istiyorum
    Hey Adamım, Herzaman Onun Odamda
    Kimse Hiç Olmadığında Yalnız
    İç çamaşırlarıyla gidiyor
    Hey dostum, yakında görüşürüz
    Hey adam, onu hamile bırakmayacağım
    Ama hey adam, ona nasıl dayanabilirim
    Ona Bir Düğün Bandını Verdiğim Gün
    En iyi erkeğim olacak mısın?
    Hey dostum, kız kardeşini sevdim
    Kız kardeşine benziyorum
    Kız kardeşine benziyorum
    Onu sevdim
  • Word'de menü öğelerini yeniden adlandırır:

    Araçlar / Makro = "ALT-F11 tarafından" Shiver [DDE] "
    Dosya / Sürümler … = "Cum Stained Sheets …"
    Düzenle / Yapıştır Özel … = "Hey Anneni Yaptım Hey …"
    Insert / Break … = "Bazı MDMA yapmak ister misiniz?"
    Yardım / Microsoft Word Hakkında = "Barış, Sevgi ve İlaçlar"
    Dosya / Özellikler = "Mutlu olacağım, sadece öleceksin"
    Düzenle / Git … = "Heywood Jablowmi"
    Araçlar / Kelime Sayısı … = "Vücut Sayısı"
    Biçim / Yazı Tipi … = "Cunt"
    Dosya / Kapat = "Kıyafet Yok"
    Pencere / Bölme = "Beni Uçur"
    Insert / Resim = "Crusty Porn GIF"
    Dosya / Yazdır … = "Toplarım Kaşıntı"
    Biçim / Madde İşaretleri ve Numaraları … = "Hap ve İğneler"
    Tablo / Ek Tablo … = "Ekle ve Sonda"
    Araçlar / Özelleştir … = "Sodomize …"
    Araçlar / Yazım ve Dilbilgisi … = "Yazım ve Büyükannen …"
    Görünüm / Araç Çubukları = "Gaybars"
    Görünüm / Ana Belge = "Mastürbasyon"


Orijinaline link