BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Virus MSOffice

Virus.MSOffice.Shiver

Sınıf
Virus
Platform
MSOffice

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: MSOffice

Microsoft Office, Microsoft tarafından yayınlanan bir çok platformlu üretkenlik uygulaması paketidir. Ofis uygulamaları birçok dosya ve içerik türüyle uyumludur.

Açıklama

Teknik detaylar

Bu makro virüsü, iki Office97 uygulamasını bozar: Word belgeleri ve Excel sayfaları. Farklı Office97 uygulamalarıyla uyumlu olması için virüs, VisualBasic uyumluluğunu kullanır ve hem Word hem de Excel'de aynı kodu kullanır.

Virüs, dosyalar açıldığında sistemi, belgeleri ve sayfaları bozar (Word'de Auto-makro Otomatik Aç ve Excel'de Otomatik Aç). Virüs bulaşırken C: SHIVER.SYS dosyası aracılığıyla Export / import Office97 işlevlerini kullanır. Kodunu oraya yazar (dışa aktarır) ve daha sonra bulaşan bir nesneye okur (içe aktarır).

Hem Word hem de Excel altında virüs standart hileler kullanarak kendini tekrarlar. Word dosyalarına bulaşırken virüs, kodunu kendi belgesine veya genel makro alanına (NORMAL.DOT) kopyalar. Excel'in altında virüs, sayfa etkinleştirme işlemini kancalar ve işleyici olarak ShiverTime enfeksiyon makrolarını ayarlar. Virüs, virüs bulaşmış PERSONAL.XLS dosyasını Excel başlangıç ​​dizinine kaydeder ve sonuç olarak sistem Excel alanını bozar.

Bir Word (AutoExit) bırakarak virüs, kodunu Word'den Excel'e yaymaya çalışır. Virüs, DDE işlevlerini kullanır: Excel'i küçültülmüş pencerelerde çalıştırır ve Excel başlangıç ​​dizininde virüslü PERSONAL.XLS dosyasını oluşturmak için gerekli veri ve komutları iletir. Virüs, Word'ü Excel'den benzer şekilde kullanarak enfekte eder: Word'ü küçültür, Visual Basic Editor'u açar ve kodunu C: SHIVER.SYS dosyasından okur.

Virüs bulaştıktan sonra C: SHIVER.SYS dosyasını silmez ve ana virüs kodu (dezenfekte edilmiş) belgeler ve NORMAL.DOT silinmişse Word'ü yeniden enfekte etmek için kullanır. Bunu yapmak için her Word'deki virüs, Word başlangıç ​​dizinindeki WORD8.DOT dosyasını arar. Böyle bir dosya yoksa, virüs oluşturur ve orada kısa bir FileSaveAs makro yazar. Bu makro, virüs kodunu C: SHIVER.SYS'den yeni adla kaydedilen belgelere içe aktaran birkaç komut içerir. Sonuç olarak, tüm belgeler ve NORMAL.DOT dezenfekte edilirse virüs aktif kalır. Virüs, WORD8.DOT damlalığı oluşturmak için aynı dışa aktarma / içe aktarma yolunu kullanır, C: SENTRY.SYS dosyası kullanılan bir kaynak kod belleği olarak kullanılır.

Sistemdeki varlığını algılamak için virüs sistem kayıt defterini kullanır ve ID değerlerini "HKEY_CURRENT_USERSoftwareVB ve VBA Program SettingsOffice8.0" anahtarına yazar. Sistemde virüs varlığını / yokluğunu işaret eden iki değer vardır: 

Titreme [DDE] = ALT-F11Titreme [DDE] = NoNos (
Sistem rastgele sayıcıya bağlı olarak, virüs bu notayı "NoNos" (Sıfırla) olarak sıfırlar ve enfeksiyon rutinlerini Word ve Excel başlangıç ​​dizinlerindeki virüslü WORD8.DOT ve PERSONAL.XLS'lerini yenilemeye zorlar.

Virüs dahili

Virüs bir "Module1" de 18 makro içerir: 
AutoExec - Word otomatik işlevi, Word yeniden bulaşma yordamını içerirAutoOpen - Word otomatik işlevi, Word docs bulaşma yordamını içerirWordStealth - stealth makrolarını ekler ToolsMacro, FileTemplates, ViewVBCodeWord genel makrolarına (NORMAL.DOT)AutoExit - Word otomatik işlevi, Excel'i bozarFindExcel - Excel arama rutininiPersonalFun - Excel bulaşmasında kullanılırCheckMarker - "Burada mısın?" işlevi, kayıt defterini denetler.MakeMarker - virüs kimliğini Kayıt Defterine yazarPXL_Done - Excel bulaşmasında kullanılırAuto_Open - Excel otomatik işlevi, sayfa etkinleştirme yordamını kancalarShiverTime - yaprak aktivasyonu fahişe ve enfektörwdTrigger - Word tetikleyici rutinixlTrigger - Excel tetikleyici rutiniAuto_Close - Excel otomatik işlevi, virüsü Word'e yayargecikme - Word enfeksiyonunda kullanılırwdReEvalInfection - Excel startup-dir'deki enfekte PERSONAL.XLS dosyasını ararxlReEvalInfection - Word başlangıçta bulaşmış WORD8.DOT için görünüyorDDE_Info - hiçbir şey yapmaz makro, "telif hakkı" içerir:ALT-F3 yardımı ile ALT-F11 yardımı ile Shiver [DDE]Bu Alternatif Virüs Mafya (AVM) tarafından üretilen ilk virüsALT-F4 - "Ölmek için doğdum"ALT-F11 - "Düşünceleri olmayan eylemler"

Tetik rutinleri

Virüsün gizli yetenekleri var. Excel altında, Pencere / Gösterme ... ve Araçlar / Makro menü öğelerini devre dışı bırakır. Word altında, aynı zamanda NORMAL.DOT içinde gizli makrolar oluşturur: ToolsMacro, FileTemplates, ViewVBCode "ThisDocument" modülünde. Sonuç olarak virüs kodu gizler. Virüs ayrıca Office97 virüs korumasını da devre dışı bırakır.

Sistem rastgele sayıcıya bağlı olarak virüs aşağıdaki efektleri çalıştırır:

  • Excel'de rastgele seçilen hücreye yorumlar ekler: 
    ALT-F11 tarafından Shiver [DDE]
  • Word'de C: SISTER.DLL dosyasını oluşturur, metni buraya yazar ve bunu göstermek için WRITE çalıştırır: 
    Hey dostum, kız kardeşini sevdimHey dostum, umarım çok havalıdırHey dostum, aklımdan kaçırımKardeşini Bulduğum Her Tek Bir ZamandaHavuz kenarında bronzlaşmışHey dostum, onu çıplak görmek istiyorumHey Adamım, Herzaman Onun OdamdaKimse Hiç Olmadığında Yalnızİç çamaşırlarıyla gidiyorHey dostum, yakında görüşürüzHey adam, onu hamile bırakmayacağımAma hey adam, ona nasıl dayanabilirimOna Bir Düğün Bandını Verdiğim GünEn iyi erkeğim olacak mısın?Hey dostum, kız kardeşini sevdimKız kardeşine benziyorumKız kardeşine benziyorumOnu sevdim
  • Word'de menü öğelerini yeniden adlandırır: 
    Araçlar / Makro = "ALT-F11 tarafından" Shiver [DDE] "Dosya / Sürümler ... = "Cum Stained Sheets ..."Düzenle / Yapıştır Özel ... = "Hey Anneni Yaptım Hey ..."Insert / Break ... = "Bazı MDMA yapmak ister misiniz?"Yardım / Microsoft Word Hakkında = "Barış, Sevgi ve İlaçlar"Dosya / Özellikler = "Mutlu olacağım, sadece öleceksin"Düzenle / Git ... = "Heywood Jablowmi"Araçlar / Kelime Sayısı ... = "Vücut Sayısı"Biçim / Yazı Tipi ... = "Cunt"Dosya / Kapat = "Kıyafet Yok"Pencere / Bölme = "Beni Uçur"Insert / Resim = "Crusty Porn GIF"Dosya / Yazdır ... = "Toplarım Kaşıntı"Biçim / Madde İşaretleri ve Numaraları ... = "Hap ve İğneler"Tablo / Ek Tablo ... = "Ekle ve Sonda"Araçlar / Özelleştir ... = "Sodomize ..."Araçlar / Yazım ve Dilbilgisi ... = "Yazım ve Büyükannen ..."Görünüm / Araç Çubukları = "Gaybars"Görünüm / Ana Belge = "Mastürbasyon"

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.