Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, Windows32 yürütülebilir dosyaları (PE EXE) ve MS Word belgeleri ve şablonlarına bulaşan çok platformlu bir virüstür. Her çoklu-platform virüsü kodunun birkaç parça (bileşen) içerdiği gibi, her biri kendi yerel ortamında çalışmayı gerçekleştirir: MS Windows'da bir Win32 uygulaması olarak ya da MS Word'de bir makro programı olarak. İki virüs bileşeninden herhangi biri kendi ortamında başladığında, yalnızca bu ortamdaki nesnelere bulaşmaz, aynı zamanda virüs kodunu başka bir dosyaya yayar: Windows EXE dosyasından Word belgelerine ve Word belgesinden Windows EXE dosyalarına.

Virüs herhangi bir yıkımı içermez ve kendisini hiçbir şekilde göstermez. Virüs bulaşmış EXE dosyaları metni içerir:



(c) Vecna

Parecia inofensiva mas te dominou …

EXE dosyası eksik -> EXE

Virüs bulaşmış bir EXE dosyası çalıştırıldığında, EXE virüs bileşeni denetimi alır. Yüklü işletim sistemi tipini kontrol eder ve eğer Windows NT ise, virüs kontrolünü ana programa döndürür ve başka bir işlem gerçekleştirmez. Virüs, bulaşma rutinini yalnızca Windows 95 / 98'de çalıştırıldığında çalıştırır. Bu rutin, WINDOWS ve WINDOWSSYSTEM dizinlerinin yanı sıra geçerli dizindeki tüm Win32 yürütülebilir dosyalarını arar ve bunlara bulaşır. Virüs bulaşırken kod son bölümün sonuna yazar, boyutunu artırır ve gerekli PE başlık alanlarını değiştirir.

Bir hata nedeniyle virüs son bölüm boyutu 64Kb daha fazla olması durumunda EXE dosyaları bozar – virüs kodu ortadaki dosyaya yazar ve bozuk program kullanılamaz hale gelir ve artık çalışmaz.

Makro Infecting -> Makro, Makro -> EXE

Virüslü belgelerde ve şablonlarda virüs bir makro AutoClose içerir. Virüs bulaşmış bir belgeyi açarak Word genel makro alanına yüklenir ve kapatıldıktan sonra diğer belgelere bulaşır. Kodunu bir belge / şablondan diğerine kopyalamak için virüs makro kod düzenleme talimatlarını kullanır.

Virüs bulaşmış Windows EXE dosyasını çalıştırmak için virüs standart yolu kullanır. EXE dosyası ikili verileri metin soketlerinde virüs makrolarında depolanır – ikili EXE verileri ASCII onaltılık dökümüne dönüştürülür. Virüs bu verileri diske kaydeder, geçici bir DOS BAT yardımcısı oluşturur ve bu yardımcı programı kullanarak ve DOS DEBUG yardımcı programı onaltılı dökümünü ikili EXE biçimine dönüştürür ve çalıştırır. Virüsün EXE bileşeni denetimi alır, yukarıda açıklandığı gibi sabit sürücüdeki EXE dosyalarını çalıştırır ve bozar.

Virüsün bilinen sürümü burada bir hata vardır ve makro virüs bileşeninden EXE dosyaları oluşturamaz. Sonuç olarak, Windows EXE dosyaları virüs bulaşmaz.

EXE bulaşma -> Makro

Virüs bileşenini Word'e virüslü EXE dosyalarından düşüren rutin, arama ve dosyalama EXE dosyası prosedürünün tamamlanmasından hemen sonra etkinleştirilir. Bu rutin, yukarıda açıklananlardan daha karmaşıktır ve virüs kodunu EXE'den Word'e taşımak için daha fazla geçici dosyaya ihtiyaç duyar. Virüs burada üç ana dosya oluşturur:



FABI.SYS – EXE virüs bileşeniyle bulaşmasını sağlayan "dummy" PE EXE dosyası

FABI.SRC – kaynak virüs makro kodu, artı FABI.SYS ikili veri

onaltılı ASCII dizelerine dönüştürülür

NORMAL.DOT – Virüsü tamamlayan küçük bir makroyla Word şablonu

yükleme: FABI.SRC'den ana virüs kodunu alır.

NORMAL.DOT

EXE'den Word'e yayılmaya başlamak için virüs, kısa bir PE EXE dosyası C: FABI.SYS oluşturur ve onu enfekte eder. Virüs daha sonra C: FABI.SYS dosyasını oluşturur ve makro program AutoClose kaynak kodunu oraya yazar. Sonra bu dosyaya C: FABI.SYS dosya verilerini onaltılık ASCII satırlarına dönüştürülür. Bu adımı tamamlamak için virüs, özel olarak hazırlanmış bir NORMAL.DOT dosyası oluşturur. Virüs, bu dosyayı dizinlere bırakmak için iyi bir yer arar:



C: ARQUIV ~ 1 / MICROS ~ / MODELOS?

C: ARCHIV ~ 1 / MICROS ~ / MODELOS?

C: PROGRA ~ 1 / MICROS ~ / Templa ~ 1?

nerede '?' 1'den 9'a kadar sayılır. İlk dizinde oluşturulan NORMAL.DOT dosyası, MS Word başlatıldığında etkinleştirilen kısa bir makro AutoExec içerir. Bu makro, C: FABI.SRC dosyasından virüs makro kaynak kodunu alır ve virüs yükleme yordamını tamamlar: NORMAL.DOT artık tam virüs koduyla bulaşıyor.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Virus
Platform	Multi
Açıklama	Teknik detaylar Bu, Windows32 yürütülebilir dosyaları (PE EXE) ve MS Word belgeleri ve şablonlarına bulaşan çok platformlu bir virüstür. Her çoklu-platform virüsü kodunun birkaç parça (bileşen) içerdiği gibi, her biri kendi yerel ortamında çalışmayı gerçekleştirir: MS Windows'da bir Win32 uygulaması olarak ya da MS Word'de bir makro programı olarak. İki virüs bileşeninden herhangi biri kendi ortamında başladığında, yalnızca bu ortamdaki nesnelere bulaşmaz, aynı zamanda virüs kodunu başka bir dosyaya yayar: Windows EXE dosyasından Word belgelerine ve Word belgesinden Windows EXE dosyalarına. Virüs herhangi bir yıkımı içermez ve kendisini hiçbir şekilde göstermez. Virüs bulaşmış EXE dosyaları metni içerir: (c) Vecna Parecia inofensiva mas te dominou … EXE dosyası eksik -> EXE Virüs bulaşmış bir EXE dosyası çalıştırıldığında, EXE virüs bileşeni denetimi alır. Yüklü işletim sistemi tipini kontrol eder ve eğer Windows NT ise, virüs kontrolünü ana programa döndürür ve başka bir işlem gerçekleştirmez. Virüs, bulaşma rutinini yalnızca Windows 95 / 98'de çalıştırıldığında çalıştırır. Bu rutin, WINDOWS ve WINDOWSSYSTEM dizinlerinin yanı sıra geçerli dizindeki tüm Win32 yürütülebilir dosyalarını arar ve bunlara bulaşır. Virüs bulaşırken kod son bölümün sonuna yazar, boyutunu artırır ve gerekli PE başlık alanlarını değiştirir. Bir hata nedeniyle virüs son bölüm boyutu 64Kb daha fazla olması durumunda EXE dosyaları bozar – virüs kodu ortadaki dosyaya yazar ve bozuk program kullanılamaz hale gelir ve artık çalışmaz. Makro Infecting -> Makro, Makro -> EXE Virüslü belgelerde ve şablonlarda virüs bir makro AutoClose içerir. Virüs bulaşmış bir belgeyi açarak Word genel makro alanına yüklenir ve kapatıldıktan sonra diğer belgelere bulaşır. Kodunu bir belge / şablondan diğerine kopyalamak için virüs makro kod düzenleme talimatlarını kullanır. Virüs bulaşmış Windows EXE dosyasını çalıştırmak için virüs standart yolu kullanır. EXE dosyası ikili verileri metin soketlerinde virüs makrolarında depolanır – ikili EXE verileri ASCII onaltılık dökümüne dönüştürülür. Virüs bu verileri diske kaydeder, geçici bir DOS BAT yardımcısı oluşturur ve bu yardımcı programı kullanarak ve DOS DEBUG yardımcı programı onaltılı dökümünü ikili EXE biçimine dönüştürür ve çalıştırır. Virüsün EXE bileşeni denetimi alır, yukarıda açıklandığı gibi sabit sürücüdeki EXE dosyalarını çalıştırır ve bozar. Virüsün bilinen sürümü burada bir hata vardır ve makro virüs bileşeninden EXE dosyaları oluşturamaz. Sonuç olarak, Windows EXE dosyaları virüs bulaşmaz. EXE bulaşma -> Makro Virüs bileşenini Word'e virüslü EXE dosyalarından düşüren rutin, arama ve dosyalama EXE dosyası prosedürünün tamamlanmasından hemen sonra etkinleştirilir. Bu rutin, yukarıda açıklananlardan daha karmaşıktır ve virüs kodunu EXE'den Word'e taşımak için daha fazla geçici dosyaya ihtiyaç duyar. Virüs burada üç ana dosya oluşturur: FABI.SYS – EXE virüs bileşeniyle bulaşmasını sağlayan "dummy" PE EXE dosyası FABI.SRC – kaynak virüs makro kodu, artı FABI.SYS ikili veri onaltılı ASCII dizelerine dönüştürülür NORMAL.DOT – Virüsü tamamlayan küçük bir makroyla Word şablonu yükleme: FABI.SRC'den ana virüs kodunu alır. NORMAL.DOT EXE'den Word'e yayılmaya başlamak için virüs, kısa bir PE EXE dosyası C: FABI.SYS oluşturur ve onu enfekte eder. Virüs daha sonra C: FABI.SYS dosyasını oluşturur ve makro program AutoClose kaynak kodunu oraya yazar. Sonra bu dosyaya C: FABI.SYS dosya verilerini onaltılık ASCII satırlarına dönüştürülür. Bu adımı tamamlamak için virüs, özel olarak hazırlanmış bir NORMAL.DOT dosyası oluşturur. Virüs, bu dosyayı dizinlere bırakmak için iyi bir yer arar: C: ARQUIV ~ 1 / MICROS ~ / MODELOS? C: ARCHIV ~ 1 / MICROS ~ / MODELOS? C: PROGRA ~ 1 / MICROS ~ / Templa ~ 1? nerede '?' 1'den 9'a kadar sayılır. İlk dizinde oluşturulan NORMAL.DOT dosyası, MS Word başlatıldığında etkinleştirilen kısa bir makro AutoExec içerir. Bu makro, C: FABI.SRC dosyasından virüs makro kaynak kodunu alır ve virüs yükleme yordamını tamamlar: NORMAL.DOT artık tam virüs koduyla bulaşıyor.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Virus.Multi.Fabi

Teknik detaylar

EXE dosyası eksik -> EXE

Makro Infecting -> Makro, Makro -> EXE

EXE bulaşma -> Makro