Здраствуйте все!
После долгого затишья опять вылазит подлый CyberShadow
с очередной безумной идеей :). Давным-давно прочитал я про вирус
Anarchy.6933 который и вдохновил меня занятся скрипт-вирусами. Для
тех кто не в курсе: Anarchy.6933 заражает COM/EXE файлы и, используя
хитрый прием, заражала Word документы при их открытии Word'ом!
Ручками анализировался формат документа и дописывалась секция с
макросами, которые и продолжали разносить вирус дальше. К сожалению,
у меня на такие фокусы мозгов не хватает :( Поэтому пришлось
изварщаться. Короче: TheThing - мультиплатформенный вирус, заражает
документы Word97, HTM? файлы, содержит фичу для распространения через
IRC. Короче действует как обычный скрипт-вирус. НО! Через mIRC на
машину "клиента" падает COM файл, который заражает Word97. Причем, не
так, как это делал в свое время Win.APPARITION от Lord ASD. Хоть это
вирусяка и мощная, но заражение Word происходило по тупому: если при
сканировании директорий находился файл Normal.DOT, то он просто в
лобовую переписывался зараженным Normal.DOT, причем без всяких
проверок и прочего, кроме того, Win.APPARITION не распространялся via
Word, а просто разносил другой вирус. У меня все не так как у людей:)
СОМ файло при запуске (сам знаю, что mIRC вирии накрываются, но...)
анализирует системные переменные, находит WINDOWS и производит туеву
хучу модификаций с реестром, дабы поотключать нахрен все проверки на
макро-вирусы и интернет безопасность. Одновременно регистрирует
инфицированный index.htm как стартовую страницу для IE и на этом
завершает свою работу (можно прикрутить заражение COM/EXE, но пока
лениво:). При запуске IE загружается index.htm и заражает Word. А уже
Word находит mIRC, заражает его, заражает *.DOC, шарится в переменной
PATH для поиска *.HTM? файлов, заражает их. Кроме того, из реестра
дергается адрес папки "My documents" или "Мои документы" по нашему,
там же происходит сканирование на предмет HTMLок. Вот!
исходники здесь
|