BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Multi.Fabi

Sınıf Virus
Platform Multi
Açıklama

Teknik detaylar

Bu, Windows32 yürütülebilir dosyaları (PE EXE) ve MS Word belgeleri ve şablonlarına bulaşan çok platformlu bir virüstür. Her çoklu-platform virüsü kodunun birkaç parça (bileşen) içerdiği gibi, her biri kendi yerel ortamında çalışmayı gerçekleştirir: MS Windows'da bir Win32 uygulaması olarak ya da MS Word'de bir makro programı olarak. İki virüs bileşeninden herhangi biri kendi ortamında başladığında, yalnızca bu ortamdaki nesnelere bulaşmaz, aynı zamanda virüs kodunu başka bir dosyaya yayar: Windows EXE dosyasından Word belgelerine ve Word belgesinden Windows EXE dosyalarına.

Virüs herhangi bir yıkımı içermez ve kendisini hiçbir şekilde göstermez. Virüs bulaşmış EXE dosyaları metni içerir:


(c) Vecna
Parecia inofensiva mas te dominou …

EXE dosyası eksik -> EXE

Virüs bulaşmış bir EXE dosyası çalıştırıldığında, EXE virüs bileşeni denetimi alır. Yüklü işletim sistemi tipini kontrol eder ve eğer Windows NT ise, virüs kontrolünü ana programa döndürür ve başka bir işlem gerçekleştirmez. Virüs, bulaşma rutinini yalnızca Windows 95 / 98'de çalıştırıldığında çalıştırır. Bu rutin, WINDOWS ve WINDOWSSYSTEM dizinlerinin yanı sıra geçerli dizindeki tüm Win32 yürütülebilir dosyalarını arar ve bunlara bulaşır. Virüs bulaşırken kod son bölümün sonuna yazar, boyutunu artırır ve gerekli PE başlık alanlarını değiştirir.

Bir hata nedeniyle virüs son bölüm boyutu 64Kb daha fazla olması durumunda EXE dosyaları bozar – virüs kodu ortadaki dosyaya yazar ve bozuk program kullanılamaz hale gelir ve artık çalışmaz.

Makro Infecting -> Makro, Makro -> EXE

Virüslü belgelerde ve şablonlarda virüs bir makro AutoClose içerir. Virüs bulaşmış bir belgeyi açarak Word genel makro alanına yüklenir ve kapatıldıktan sonra diğer belgelere bulaşır. Kodunu bir belge / şablondan diğerine kopyalamak için virüs makro kod düzenleme talimatlarını kullanır.

Virüs bulaşmış Windows EXE dosyasını çalıştırmak için virüs standart yolu kullanır. EXE dosyası ikili verileri metin soketlerinde virüs makrolarında depolanır – ikili EXE verileri ASCII onaltılık dökümüne dönüştürülür. Virüs bu verileri diske kaydeder, geçici bir DOS BAT yardımcısı oluşturur ve bu yardımcı programı kullanarak ve DOS DEBUG yardımcı programı onaltılı dökümünü ikili EXE biçimine dönüştürür ve çalıştırır. Virüsün EXE bileşeni denetimi alır, yukarıda açıklandığı gibi sabit sürücüdeki EXE dosyalarını çalıştırır ve bozar.

Virüsün bilinen sürümü burada bir hata vardır ve makro virüs bileşeninden EXE dosyaları oluşturamaz. Sonuç olarak, Windows EXE dosyaları virüs bulaşmaz.

EXE bulaşma -> Makro

Virüs bileşenini Word'e virüslü EXE dosyalarından düşüren rutin, arama ve dosyalama EXE dosyası prosedürünün tamamlanmasından hemen sonra etkinleştirilir. Bu rutin, yukarıda açıklananlardan daha karmaşıktır ve virüs kodunu EXE'den Word'e taşımak için daha fazla geçici dosyaya ihtiyaç duyar. Virüs burada üç ana dosya oluşturur:


FABI.SYS – EXE virüs bileşeniyle bulaşmasını sağlayan "dummy" PE EXE dosyası
FABI.SRC – kaynak virüs makro kodu, artı FABI.SYS ikili veri
onaltılı ASCII dizelerine dönüştürülür
NORMAL.DOT – Virüsü tamamlayan küçük bir makroyla Word şablonu
yükleme: FABI.SRC'den ana virüs kodunu alır.
NORMAL.DOT

EXE'den Word'e yayılmaya başlamak için virüs, kısa bir PE EXE dosyası C: FABI.SYS oluşturur ve onu enfekte eder. Virüs daha sonra C: FABI.SYS dosyasını oluşturur ve makro program AutoClose kaynak kodunu oraya yazar. Sonra bu dosyaya C: FABI.SYS dosya verilerini onaltılık ASCII satırlarına dönüştürülür. Bu adımı tamamlamak için virüs, özel olarak hazırlanmış bir NORMAL.DOT dosyası oluşturur. Virüs, bu dosyayı dizinlere bırakmak için iyi bir yer arar:


C: ARQUIV ~ 1 / MICROS ~ / MODELOS?
C: ARCHIV ~ 1 / MICROS ~ / MODELOS?
C: PROGRA ~ 1 / MICROS ~ / Templa ~ 1?

nerede '?' 1'den 9'a kadar sayılır. İlk dizinde oluşturulan NORMAL.DOT dosyası, MS Word başlatıldığında etkinleştirilen kısa bir makro AutoExec içerir. Bu makro, C: FABI.SRC dosyasından virüs makro kaynak kodunu alır ve virüs yükleme yordamını tamamlar: NORMAL.DOT artık tam virüs koduyla bulaşıyor.


Orijinaline link