W32.Magistr.24876@mm |
Questo è un nuovo e pericolosissimo virus che in alcuni casi riesce a scrivere nella memoria CMOS e nel Flash BIOS in modo simile al virus Win95.CIH. E' scritto in Assembly , la lunghezza del codice è 30 KB, e ha anche due motori polimorfi. Magistr è sicuramente uno dei virus più complicati scritti fino ad oggi.
Una volta eseguito esso si installa in memoria come se fosse un processo di EXPLORER.EXE. Quindi il virus accede a un file (di norma il primo) presente nella cartella Windows, lo infetta e crea un riferimento a tale file in una nuova chiave nel Registro di sistema sotto il percorso
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
e in una nuova entrata nel file WIN.INI (istruzione "run=" nella sezione [windows]). In questo modo il virus viene attivato a ogni avvio del sistema operativo. Questo file viene infettato in maniera tale che il programma ospite non venga attivato dopo l’avvio del virus: il codice virale non cede il controllo all’applicazione infettata e dunque l’utente non si accorge che allo startup del sistema viene eseguita una nuova applicazione.
E' importante dire che questo virus esegue un sacco di altre operazioni, che non menzioniamo.
Diffusione via posta elettronica
Per inviare delle e-mail che contengono degli allegati infetti il virus tenta di leggere dal Registro le impostazioni relative a 3 client di posta elettronica:
Outlook Express
Netscape Messenger
Internet Mail e News
Quindi il virus scandisce i database di e-mail alla ricerca di indirizzi di posta elettronica ai quali spedire le e-mail infette.
E’ importante notare che, nel caso in cui sul sistema non siano installati i programmi di posta elettronica sopra menzionati, il virus non spedisce e-mail infette e non tenta nemmeno di infettare i file sul sistema, ma in ogni caso tenta di diffondersi su rete locale, se quest’ultima è presente.
L’oggetto delle e-mail è vuoto o costruito attraverso una procedura che sceglie casualmente delle parole e delle frasi trovate in file .DOC o .TXT presenti sul sistema infetto (il virus infatti controlla i drive locali alla ricerca di file con le estensioni sopra menzionate ed estrapola dei dati da quest’ultimi). Altrettanto casualmente il virus usa delle parole presenti nella seguente lista:
sentences you |
ayant délibéré |
sentences him to |
le présent arrêt |
sentence you to |
vu l',27h,'arrêt |
ordered to prison |
Conformément à la loi |
convict |
exécution provisoire |
, judge |
Rdonn |
circuit judge |
audience publique |
trial judge |
a fait constater |
found guilty |
cadre de la procédure |
find him guilty |
Magistrad |
affirmed |
Apelante |
judgment of conviction |
recurso de apelaci |
verdict |
pena de arresto |
guilty plea |
y condeno |
trial court |
mando y firmo |
trial chamber |
calidad de denunciante |
sufficiency of proof |
costas procesales |
sufficiency of the evidence |
diligencias previas |
proceedings |
Antecedentes de hecho |
against the accused |
hechos probados |
habeas corpus |
Sentencia |
jugement |
Comparecer |
condamn |
Juzgando |
trouvons coupable |
dictando la presente |
à rembourse |
los autos |
sous astreinte |
en autos |
aux entiers dépens |
denuncia presentada |
aux dépens |
|
Anche il corpo del messaggio può essere privo di testo o costruito casualmente
Il nome del file allegato al messaggio può variare. Il virus effettua una ricerca nel sistema per un file di tipo PE con estensione .EXE o .SCR lungo 132 KB al massimo, lo infetta e lo allega al messaggio.
In un caso su cinque, il virus allega al messaggio anche un file .DOC o .TXT che era stato trovato sul sistema quando il virus era alla ricerca dei testi da inserire nel messaggio e nell’oggetto dell’e-mail infetta. Come conseguenza di tale azione è possibile che il virus diffonda delle informazioni riservate dal sistema infetto.
Quando invia dei messaggi infetti il virus si connette al server SMTP configurato sul sistema (l’informazione viene prelevata dal Registro) e invia direttamente le e-mail, cioè usando il protocollo SMTP senza l’ausilio di client di posta elettronica.
Usando una procedura casuale il virus, con una probabilità di 4 a 5, modifica la seconda lettera del nome del mittente.
Il virus memorizza nel proprio codice gli ultimi 10 indirizzi e-mail degli utenti di computer infettati. Quando si diffonde via e-mail il virus confronta l’indirizzo di posta elettronica del target potenziale con quelli presenti nella lista e in caso di esito positivo evita di spedire se stesso agli indirizzi di computer che risultano già infetti.
Effetto distruttivo (payload)
A seconda del valore assunto da certi contatori interni al codice virale, il virus si manifesta sul sistema: accede al desktop di Windows e impedisce l’accesso alle icone da parte del mouse. Se il puntatore del mouse viene posto su un’icona questa viene spostata in modo tale che non sia possibile cliccare su di essa con il mouse.
Entro un mese dall’infezione del computer il virus esegue la routine del payload che sovrascrive il contenuto di tutti i file locali e di rete con il testo "YOUARESHIT". Inoltre, sotto Windows 9x il virus cancella anche il contenuto della CMOS, del Flash BIOS e del disco rigido.
Infine il virus mostra su video il seguente messaggio:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT