- W i r u s P C - polskie centrum antywirusowe

Bądź na bieżąco! Kanały RSS

Encyklopedia wirusów

Moridin

Jest to wieloplatformowy wirus atakujący systemy Win32. Infekuje pliki uruchamialne, dokumenty Worda, rozprzestrzenia się poprzez wiadomości e-mail, kanały IRC oraz sieci lokalne. Dodatkowo wirus posiada właściwości charakterystyczne dla Backdoorów.

Bakcyl ma rozmiar około 70 KB i składa się z kilku komponentów: uruchamialnego modułu Win32, szablonu Worda, makra Worda oraz z kilku skryptowych programów. Procedury uruchamialne wirusa zostały napisane w Assemblerze.

Szkodnik może występować w postaci:

zainfekowanego pliku PE EXE
pomocniczego pliku PE EXE
zainfekowanego dokumentu Worda
skryptu VBS
skryptu IRC

Podczas rozprzestrzeniania się za pomocą wiadomości e-mail oraz kanałów IRC, wirus nadaje swoim kopiom następujące nazwy: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE, INIT.EXE.

Komponent PE EXE - ainfekowane pliki PE EXE

Podczas infekowania plików PE EXE wirus zwiększa rozmiar ostatniej jego sekcji, deszyfruje się za pomocą procedury polimorficznej i zapisuje swój kod w utworzone miejsce. Gdy zainfekowany plik zostanie uruchomiony, kontrolę przejmuje polimorficzny kod wirusa, który z kolei przekazuje sterowanie do głównego kodu szkodnika. Następnie, wirus tworzy cztery pliki w systemowym katalogu Windows: ADVAPI33.EXE, PACKED.EXE, MMSYSTEM.BIN oraz COMMDLG.VBS.

Pierwsze trzy pliki zawierają ten sam kod - pomocniczy plik PE EXE o rozmiarze 60 KB, uruchamiany jako standardowa aplikacja systemu Windows. Pliki te są wykorzystywane przez inne komponenty wirusa w celu infekowania dokumentów Worda oraz rozprzestrzeniania się poprzez kanały IRC i wiadomości e-mail.

Klucze rejestru systemowego

Następnym krokiem wirusa jest modyfikacja kluczy rejestru. Bakcyl tworzy następujące klucze:

HKEY_CLASSES_ROOTexefileshellopencommand
default = "%SystemDir%MMSYSTEM.BIN" %1 %*"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun mmsystem = COMMDLG.VBS
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionNetworkLanManASMODEUS$
Flags = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Path = "C:"
Remark = ""
Type = 0

usuwa klucz:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionPolicies
NoDriveAutorun

oraz modyfikuje dwa klucze:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionPoliciesNetwork
DisablePwdCaching = 0
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersion WinDrop = "%SystemDir%"
gdzie %SystemDir% jest nazwą systemowego katalogu Windows.

Infekcja

Następnie wirus infekuje do pięciu plików EXE oraz SRC, w bieżącym katalogu. Szkodnik wykrywa nazwy plików wykorzystywanych przez programy antywirusowe i nie infekuje ich:

FSAV
PAND
INOC
TBSC
NAVS
NAVD
NAVX
ADVA
SCAN
NOD3
DRWE
SPID
AMON
AVP3
AVPM

Ponadto bakcyl nie atakuje samorozpakowujących się archiwów, stworzonych przy użyciu programu WinZip. Usuwane są natomiast poniższe pliki programów antywirusowych:

CHKLIST.MS
CHKLIST.DAT
CHKLIST.CPS
CHKLIST.TAV
AGUARD.DAT
AVGQT.DAT
ANTI-VIR.DAT
SMARTCHK.MS
SMARTCHK.CPS
IVP.NTZ
AVP.CRC

Uruchomienie pliku pomocniczego

Plik pomocniczy wirusa jest aktywowany poprzez uruchomienie dowolnego pliku EXE. Gdy uruchamiany jest klient mIRC, PIRCH lub vIRC, wirus zaraża go. Następnie, szkodnik tworzy w bieżącym katalogu swoją kopię, o nazwie CRACK.EXE i wysyła ją do każdego użytkownika, który bądź przyłączy się do zainfekowanego kanału (w przypadku klienta vIRC), bądź wyśle na kanał tekst zawierający słowo "crack" (w przypadku klientów mIRC oraz PIRCH).

Oto nazwy plików skryptowych, tworzonych przez wirusa:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

Jeśli użytkownik podejmie próbę uruchomienia Edytora Rejestru (REGEDIT.EXE) lub programu antywirusowego, wirus po prostu anuluje to żądanie. Oto lista antywirusów, na uruchomienie których szkodnik nie pozwala:

REGE*
AVP3*
AVPM*
AVPC*
NOD3*
AMON*
SCAN*
SPID*
DRWE*

Po unieważnieniu odwołania użytkownika wirus wyświetla komunikat:

WinZip Self-Extractor
WinZip Self-Extractor header corrupt. 
Possible cause: bad disk or file transfer error

Jeśli linia poleceń zawiera referencję do pliku DOC, wirus dodaje do niego swój plik PACKED.EXE. Plik ten będzie szkodnikowi potrzebny, aby rozprzestrzeniać się z dokumentów Worda.

Dodatkowo plik pomocniczy wirusa umieszcza na dysku dwa pliki, które umożliwiają bakcylowi rozprzestrzenianie się w środowisku Worda:

NORMAL.DOT - w katalogu zawierającym szablony Worda
IMPMORI.DRV - w katalogu systemowym Windows

Szablon NORMAL.DOT zawiera program ładujący wirusa, który pobiera zainfekowane makra z pliku IMPMORI.DRV.

Plik pomocniczy wirusa wyłącza ochronę makr oraz wyłącza znalezione monitory antywirusowe:

AVP Monitor
Amon Antivirus Monitor
Norton AntiVirus Auto-Protect Trial Version
Norton AntiVirus Auto-Protect

Wirus atakuje także strony HTML. Jeśli w bieżącym katalogu znaleziony zostanie plik HTM, szkodnik kopiuje się do niego z nazwą SETUP.EXE i tworzy link, którego wywołanie powoduje pobranie zainfekowanego kodu.

Dodatkowo w zależności od swojego wewnętrznego licznika, wirus nadaje bieżącemu dyskowi nazwę W32Moridin.

Infekowanie sieci lokalnych

Działanie pliku pomocniczego nie jest jeszcze zakończone. Jeśli w sieci lokalnej znajdują się dyski udostępnione do zapisu, plik ten próbuje je atakować na dwa sposoby:

kopiuje się na sieciowe dyski z nazwą NETX.EXE i tworzy na nich pliku AUTORUN.INF, który powoduje uruchomienie zbioru NETX.EXE,
szuka na sieciowym dysku katalogu systemu Windows i kopiuje się do niego z nazwą INIT.EXE i rejestruje się w sekcji auto-run pliku WIN.INI.

Infekowanie zdalnych komputerów

Wirus próbuje infekować zdalne komputery w następujący sposób. Sprawdza, czy uruchomiona jest jedna z poniższych aplikacji:

GetRight Monitor
Microsoft Outlook
ICQMsgAPI
WWW Links
PIRCH98

i pobiera adres IP hosta (do którego przyłączona jest zainfekowana maszyna), po czym szuka na nim backdoora o nazwie NetBus. Jeśli backdoor zostanie odnaleziony, wirus zmusza go do uruchomienia swojej kopii.

Procedura backdoor

Wirus posiada również swoją własną procedurę backdoor. Umożliwia ona:

otwieranie i zamykanie tacki napędu CD-ROM
pobieranie plików
wyłączanie się

wyświetlanie poniższego tekstu:

[W97-2K/Win32.Moridin 1.0] by Asmodeus iKX

Zainfekowane wiadomości e-mail

Wirus może wykorzystywać dwa systemy pocztowe: MS Outlook oraz Pegasus.

MS Outlook

Aby rozprzestrzeniać się plik wirusa COMMDLG.VBS pobiera wszystkich adresatów z książki adresowej i wysyła do nich swoją kopię (plik PACKED.EXE), jako załącznik wiadomości. Treść i temat wiadomości może się różnić:

Temat:

Virus ALERT!

Treść:

There is a VBS-worm spreading over email, protect yourself!
Do not open any attachment called FREE-SEX.VBS

Temat:

Utopia/Earth 2025 tutorials

Treść:

Hi everyone, check this game out! www.games.esite.com.
A couple of tutorials are attached to the message

Temat:

This is how I look :)

Treść:

Here is some pictures of me, you like it? :)

Podpis wybierany jest spośród trzech wariantów: Regards, Sincerely oraz Have a nice day i jest zakończony nazwą użytkownika oraz organizacji. Wirus pobiera te dane z rejestru systemowego.

Pegasus

Wirus wybiera adres z bazy danych programu Pegasus i wysyła pod ten adres aktywny dokument Worda. Wiadomość może posiadać jeden z poniższych tekstów:

Check this out!

BAAAAAAAM! You just got hit by an attachment, this is the attachment 
war! Hit someone, NOW!

WirusPC.pl

Zagrożenia

Porady

Zdaniem eksperta

Polecamy

Sponsorzy

Encyklopedia wirusów

Moridin