BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Multi.Cocaine

Sınıf Virus
Platform Multi
Açıklama

Teknik detaylar

Bu parazit Windows PE dosyaları ve e-posta yayma yeteneği ile MS Word normal şablonları enfektör, yaklaşık 22Kb uzunluğundadır. Virüsün üç örneği vardır: Windows PE EXE dosyalarında, Word NORMAL şablonunda ve e-posta mesajlarında ekli dosya olarak.

Virüs kodu bulaşmış PE EXE dosyalarındaki ana örneğidir. Çalıştırıldığında, virüs geçerli ve Windows dizinlerinde PE EXE dosyalarını arar ve bunları enfekte eder. Virüs, bulaşmış e-postaların yanı sıra, PE EXE örneğinden de MS Word dizinine bulaşmış NORMAL.DOT dosyasını da düşürür. Her belgede NORMAL şablonundaki virüs örneği düşer ve bulaşmış PE EXE dosyasını çalıştırır ve diğer belgeleri ve şablonları enfekte edemez. E-postalardaki virüs kodu, rastgele adla veya EXE bulaşmış NORMAL şablonuyla PE EXE Windows yürütülebilir dosyası bulaşmış olan ekli dosya olarak görünür.

Virüs, işlem başına bellek saklayıcısıdır. Bu, virüs kopyasının, virüslü uygulama sona erene kadar uzun süre bellekte kalabileceği anlamına gelir. Sadece "kısa ömürlü" uygulamaların enfekte olması durumunda, virüs kodu uzun süre sistem belleğinde mevcut değildir. Sürekli kullanımda bir uygulamanın enfekte olması durumunda, virüs uzun süre aktif olur, Windows işlevlerini kancalar, e-posta mesajlarına erişen ve gönderen PE EXE dosyalarını bozar.

Virüs PE dosyalarının yanı sıra Word NORMAL şablonunda polimorfiktir. Virüs, EXE kodunda iki polimorfik motora sahiptir: ilk olarak, bulaşmış PE EXE dosyalarında polimorfik şifre çözme döngüsü oluşturur, ikincisi de virüs makro programını virüslü NORMAL.DOT polimorfiğinde yapar.

Virüs, virüs bulaşmış bir dosya dört ay içinde çalıştırıldığında çalıştırılan bir yük rutinine sahiptir. Bu yordam, "W32 / Wm.Cocaine" üstbilgisine sahip ileti kutularını ve yedi varyanttan rastgele seçilen metni görüntüler:


Hayatın daha hızlı yanıyor, efendine itaat et.
Kahvaltıyı aynaya al …
Korkuyla pompalanan damarlar, en karanlık açıklığı emer …
Gördüğün gibi tadın, daha fazlasına ihtiyacın var …
Ben işgal edeceğim, ölmene yardım edeceğim …
Senin içinden geçeceğim, şimdi seni de yönetiyorum …
Kuklalar Ustası, iplerini çekiyorum …

Virüs, virüsten korunma programlarına önem verir ve bunları devre dışı bırakmaya çalışır. Virüs bulaşmış bir dosya her yürütüldüğünde ve virüs işlem başına yerleşik kopyayı yüklediğinde, virüsten korunan veri dosyalarını geçerli dizinde arar ve siler. Bu dosyaların adları şöyle görünür: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN ve diğer anti-virüs verileri Dosyalar). Virüs ayrıca AVP Monitor erişim tarayıcısının eski sürümünü bulur ve sonlandırır.

Bilinen virüs sürümü hatalıdır ve Word makro örneğinden Windows çalıştırılabilirliğine yayılamaz. Ayrıca PE EXE enfeksiyonu rutininde bir hata vardır ve bazı WinNT çalıştırılabilir dosyalarını bozar.

Virüsün "telif hakkı" metni var:


(c) Vecna

Bazı virüs rutinleri (özellikle makro olanlar) "Fabi" çoklu platform virüsü ile ilgilidir ve bazı virüslü dosyalar bu virüsün adıyla algılanabilir.

Teknik detaylar

Virüs, Assembler'de (yaklaşık 22Kb) yazılmış bir program için oldukça büyük bir boyuta sahiptir ve teknik açıdan oldukça ilginç olan birçok rutine sahiptir.

Enfekte EXE çalıştır

Virüslü bir dosya kontrol altına alındığında polimorfik şifre çözme döngüleri yürütülür. Virüs kodu katman katmanının şifresini çözer (virüs iki döngüyle birkaç döngüden şifrelenir) ve kontrolü virüs yükleme rutinine geçirir. Birkaç virüs bloğunun hala şifrelenmiş olduğunu unutmamak gerekir. Virüs, ihtiyaç duyulduğunda bunları çözer ve bunlara erişir ve sonra geri şifreler. Bu bloklar MS Word enfeksiyonu verileri ve rutin yanı sıra PE EXE polimorfik motorudur.

Virüs yükleme yordamı, daha sonra virüs tarafından kullanılan gerekli Windows API işlevleri adresleri arar. Bu işlevlerin listesi oldukça uzun, bu virüsün kendisini yaymak için yaptığı şeylerin bir listesini neden olur. Virüsün aradığı fonksiyonlar listesi aşağıdadır:


İşlevler listesi tarafından dışa aktarılır
———– ————–
KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA
CreateFileA WinExec CloseHandle LoadLibraryA FreeLibrary
CreateFileMappingA MapViewOfFile UnmapViewOfFile
FindFirstFileA FindNextFileA FindClose SetEndOfFile
VirtualAlloc VirtualFree GetSystemTime
GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime
ExitProcess GetCurrentProcess WriteProcessMemory WriteFile
DeleteFileA Sleep CreateThread GetFileSize SetFilePointer
USER32.DLL: MessageBoxA FindWindowA PostMessageA
ADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA
RegQueryValueExA RegCloseKey
MAPI32.DLL: MAPISendMail

Virüs, standart Windows virüs hilesiyle bu işlevlerin adreslerini alır: Windows belleğindeki KERNEL32.DLL görüntüsünü bulur, Dışa Aktarım tablosunu tarar ve iki işlevin adreslerini alır: GetModuleHandle ve GetProcAddress. Bu iki işlevi kullanarak virüs daha sonra diğer gerekli fonksiyonların tüm adreslerini kolayca bulabilir. Bu rutinin en ilginç özelliği, sadece Win95 / 98 ve WinNT adreslerini KERNEL32.DLL görüntüsünü ararken değil, aynı zamanda Win2000 adresleri için de dikkat çeken ilk virüs olmasıdır.

Virüs daha sonra MS Word'leri bulur ve enfekte eder, daha sonra PE EXE dosyalarını arar ve onları da enfekte eder, daha sonra virüs kopyalarını yaymak ve daha fazla dosya bulmak için kullanılan bir dizi sistem olayını (dosyalar ve e-postalar erişimi) kancalar. ekli e-postalarda İnternet.

MS Word'ü Infecting

Virüs tarafından aktive edilen ilk enfeksiyon rutini, sisteme kurulursa, rutini etkileyen MS Word'dür. Her şeyden önce, virüs C: ANCEV.SYS dosyasının varlığını kontrol eder.

Geriye yazılan C: ANCEV.SYS dosyası ("ANCEV" = "VECNA") özel bir amaca sahiptir. Bu dosya, MS Word şablonu enfeksiyon rutini tamamlandığında oluşturulur. Bu nedenle, bu dosya varlığı MS Word'ün bulunduğu ve NORMAL.DOT şablonunun etkilendiği anlamına gelir. Bu durumda virüs e-posta gönderirken NORMAL.DOT şablonunu gönderir ancak virüs bulaşmış EXE damlalıklarını göndermez.

Bu nedenle, virüs bu dosyayı MS Word enfeksiyonu rutininin en üstünde denetler. Eğer mevcut değilse, virüs enfeksiyona devam eder. Bu dosya bulunduğunda, virüs on bir vakada rasgele bir şekilde enfeksiyona devam eder ve dokuz vakada on enfeksiyon enfeksiyonunun rutini vardır. Bunun anlamı, MS Word NORMAL.DOT'un on bir örneğinde yine de yeniden enfekte olacaktır.

Virüs, Word'ün ayarlarını kaydettiği sistem kayıt defteri anahtarlarını değiştirerek Word VirusWarning korumasını devre dışı bırakır:


SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection

Virüs sonra sistem kayıt defteri okuyarak da Word şablonları dizin alır:


SOFTWAREMicrosoftOffice8.0CommonFileNewLocalTemplates

ve orada NORMAL.DOT şablonlarını siler ve sonra yeni bir NORMAL.DOT şablon dosyası oluşturur – virüslü bir dosya. Enfekte NORMAL.DOT içinde küçük bir makro içeriyor. Bu makro "AutoExec" Word otomatik adı vardır, otomatik olarak bir sonraki Word başlangıcında çalıştırılacak ve ana virüs makrosunu C: COCAINE.SYS dosyasından alacaktır.

C: COCAINE.SYS dosyası, NORMAL.DOT şablonunun üzerine yazıldıktan hemen sonra virüs tarafından oluşturulur. Bu SYS dosyası, VBA programının kaynak kodunu içeren bir metin dosyasıdır. Bu kaynak virüs tarafından kodundan çıkarılır, çöp (polimorfik) VBA talimatları ile karıştırılır ve ASCII dizilerine dönüştürülen bulaşmış PE EXE damlalığı eklenir.

Yani, MS Word enfeksiyonu rutin işi iki adımda yapar. Her şeyden önce virüs, orijinal NORMAL.DOT, C: COCAINE.SYS dosyasından tam virüs kodu içe aktarır ve PE EXE dosyasındaki bu port koduyla tamamlanan "AutoExec" makro programını (loader) içeren yeni bir taneyle değiştirir. MS Word şablonuna.

Word'den EXE'ye

PE EXE dosyasını Word şablon örneğinden çıkarmak için virüs standart makro virüslerin numarasını kullanır. İki dosya oluşturur: ilk olarak C: COCAINE.SRC dosyası, bulaşmış PE EXE dosyası görüntüsü ASCII biçimine dönüştürülür ve ikinci dosya, rasgele adı olan bir DOS toplu işidir. Bu toplu iş dosyası, ASCII dökümü ikili PE EXE biçimine dönüştüren DOS DEBUG yardımcı programını yürüten yönergeleri içerir ve yürütür.

Böylece virüs, Windows bulaşmış Word şablonundan dışarı atlar.

PE EXE dosyalarını bulaştırabilir

MS Word etkilendiğinde, virüs PE EXE dosyaları enfeksiyon rutinine gider. Virüs, mevcut ve Windows dizinlerinde PE EXE dosyalarını arar ve onları enfekte eder. Tek dosyalar .EXE veya .SCR dosya adı uzantılarına sahip olan virüs bulaşmış.

Virüs, daha sonra yüklü tarayıcı ve postacı arar ve onları da enfekte eder. Virüs onları HKEY_LOCAL_MACHINE deposundaki sistem kayıt defteri anahtarlarıyla bulur:


SOFTWAREClasseshtmlfileshellopencommand
SOFTWAREClassesmailtoshellopencommand

Virüs, internet enfeksiyon rutinlerini etkinleştirmek için bu dosyaların virüs bulaşmış olmasını gerektirir. Bu İnternet erişim uygulamalarına virüs bulaştığı zaman, virüs kopyası, kullanıcının internete bağlandığı anda tam olarak uzun süre bellekte aktiftir. Bu, internet yayılma kabiliyetini gerçekleştirmek için virüs için gereklidir.

PE EXE Enfeksiyon mekanizması

Virüs, dosyayı etkilemeden önce birkaç koşulu kontrol eder. 1: dosya uzunluğu 101 tarafından bölünmemelidir (birden fazla bulaşmayı önlemek için virüs koruması, zaten bulaşmış PE EXE dosyaları böyle uzunluğa sahiptir). 2: Virüs, mevcut ve Windows dizinlerindeki EXE dosyalarını bulaştırmak istediğinde, dosyanın adı 'V' harfini veya rakamını içeremez, burada virüs en popüler anti-virüs tarayıcılarını ve "keçi dosyaları" bulaşmasını önler.

Eğer ilk bölüm yeterince büyükse (2304 bayttan fazla), virüs, ana blok şifre çözme döngülerine kontrol blok-by-blokunu geçiren bir kaç tane önemsiz kod bloğunu yazar. Virüs onları enfekte ettiğinde dosyalara yazılan sekiz blok var:


+ ———— +
| |
PE Başlık | ————— +
| ———— | |
| + —– + <- + | |
| | Junk2 | || |
| + —– + – + || Giriş Noktası |
+ —– + ||| <————— +
|| Junk1 | |||
| + —– + —- + |
| | |
| + —– + <- + |
|| Junk3 | |
| + —– + —- + |
| V |
| . . . |
| + —– + |
| + —- | Junk8 ||
|| + —– + |
| V |
| ———— |
Virüs kodu |
| |
+ ———— +

Bu durumda virüs, programın giriş noktası adresini değiştirmez, ancak geri dönüş kontrolünden önce orijinal giriş prosedürüne kadar tüm yazılan ana dosya bloklarını geri yüklemesi gerekir.

İlk bölüm kısasa, kontrol doğrudan virüs koduna gider. Bu durumda virüs, virüs bulaşmış dosyalar yürütüldüğünde kontrol almak için programın giriş adresini değiştirir.

Virüs kodunun kendisi birkaç (ikiden beşe kadar) polimorfik döngü tarafından şifrelenir. Virüs içindeki polimorfik motor oldukça güçlüdür ve yaklaşık 2Kb polimorfik döngüler üretir.

Virüs ayrıca, virüs bulaşabilirliği çalıştırıldığında GetProcAddress, GetModuleHandle, CreateProcessA, WinExec ve MAPISendMail işlevlerini almak için Alma bölümünü de yamalar.

Tüm virüs, şifrelenmiş kodu son dosya bölümünün sonuna yazar ve PE başlığını ekleyerek bölüm boyutunu artırır.

Olayları Durdurmak

Word ve PE EXE doğrudan bulaşma yordamları tamamlandığında, virüs birkaç Windows işlevlerini kancalar ve Windows bellekte ana bilgisayar programının bir parçası olarak kalır. Virüs, KERNEL32.DLL ana bilgisayar programı tarafından alınırsa, WinExec ve CreateProcessA iki dosya erişim işlevi kancalar. Bu işlevler denetim aldığında (bir program yürütüldüğünde) virüs, programın dosya adını alır, dizinini alır, PE EXE dosyalarını bu dizinde arar ve bu dosyalara bulaşır.

E-posta Gönderme

Virüs başına süreçte yerleşik kod da MAPI32.DLL, "connect" ve "recv" WSOCK32.DLL ve KERNEL32.DLL gelen GetProcAddress den ihraç MAPISendMail, e-posta enfeksiyon iş parçacığı çalışır.

İlk kanca, virüs tarafından kopyasını internete göndermek için kullanılır. Virüs bu olayı kestiğinde mesajda ekli veri arar. Ek yoksa, virüs bulaşmış NORMAL.DOT veya bulaşmış PE EXE dosyası (ikincisi C: ENIACOC.SYS dosyasında diskte oluşturulur) iletisine ekler.

"GetProcAddress", "connect" ve "recv" kancaları, virüs tarafından bulaşan E-postaların gönderilmesinin ikinci yöntemini gerçekleştirmesi için kullanılır. Bir mesaj geldiğinde, virüs "mailto:" alanı için başlığını tarar, adresi oradan alır ve kendi veritabanında saklar.

Denetim alırken enfeksiyon iş parçacığı, "connect" ve "recv" fahişeleri tarafından yakalanan e-posta adresini arar, CRC'sini hesaplar ve Windows sistem dizinindeki BRSCBC.DAT dosyasında depolanan "zaten virüslü adresler" veritabanıyla karşılaştırır. Bu adres henüz gönderilmemişse, virüs BRSCBC.DAT veritabanına ekler, NORMAL şablonu veya bulaşmış PE EXE dosyası içeren bir ileti oluşturur ve MAPISendMail işlevini kullanarak gönderir. Mesajın konu alanı değişkenlerden rastgele seçilir:


Kewl sayfası!
Sayfanıza iyileştirme
Sayfanız r0x0r!
Bunu görmelisin…
Gizli şeyler!

BRSCBC.DAT veritabanını kullanarak virüs, çift gönderimleri önler, ancak her virüslü programda rastgele sayacı bağlı olarak virüs çalıştırmak bu dosyayı siler ve "gönderme" veritabanını temizler.

Virüs TSR kopyası tarafından da takılan "GetProcAddress", bir uygulama bu rutinleri "varsayılan" olarak almazsa, yalnızca "connect" ve "recv" WSOCK32.DLL işlevlerini engellemek için kullanılır, ancak ihtiyaç durumunda bunları etkinleştirir. Bunu yapmak için "GetProcAddress" virüsü 'kanca "connect" ve "recv" WSOCK32.DLL fonksiyonları' adreslerine erişim engeller. Bir uygulama internet bağlantılarını kullanmak için bu rutinlerin adreslerini almaya çalışırsa, virüs kendi "connect" ve "recv" fermuarlarının adreslerini döndürür ve böylece internet bağlantısını keser.


Orijinaline link