Энциклопедия компьютерных вирусов

         

Cocaine


Резидентный полиморфный

Windows-вирус. Заражает выполняемые файлы Windows (PE EXE-файлы), MS Word темплейт NORMAL.DOT и рассылает свои копии по электронной почте. Имеет размер, достаточно большой для программы, написанной на ассемблере - около 22Kb.

Зараженный PE EXE-файл является главным "разносчиком" вируса - все основные процедуры заражения выполняются при запуске зараженных файлов Windows. При этом вирус ищет и заражает PE EXE-файлы в текущем каталоге и каталоге Windows, затем в каталоге шаблонов Windows замещает NORMAL.DOT на зараженный, затем остается резидентно в памяти Windows, заражает запускаемые файлы и рассылает письма с зараженными вложениями.

Вирус в NORMAL.DOT состоит из одного макроса AutoClose и активизируется при закрытии каждого документа. При этом он "выбрасывает" из себя зараженный PE EXE-файл, который выполняет перечисленные выше действия. Заражать другие шаблоны и документы Word вирус неспособен.

Вирус в письмах электронной почты является либо зараженным PE EXE-файлом со случайным именем, либо шаблоном NORMAL.DOT. Вирус может быть прислан либо как отдельное письмо без самого текста сообщения (только вложенный файл), либо присоединяется к отправляемому сообщению.

Вирус является резидентным на "время жизни" зараженного EXE-файла. Т.е. копия вируса остается в памяти компьютера как часть зараженного файла и выгружается из памяти вместе с окончанием работы файла-носителя. В случае "короткоживущих" программ вирус успевает только найти и заразить другие PE EXE-Файлы и NORMAL.DOT. В случае же приложений длительного использования вирус активен в памяти длительное время, заражает PE EXE-файлы и рассылает свои Email-копии.

Вирус полиморфичен как в PE EXE-файлах, как и в шаблоне NORMAL.DOT. Содержит два полиморфик-генератора: один создает код для PE EXE-файлов, другой - для макро-программ VBA (Visual Basic for Applications).

Вирус проявляется при запуске зараженного PE EXE-файла через четыре месяца после его заражения.
При этом вызывается процедура, которая выводит MessageBox с заголовком "W32/Wm.Cocaine" и текстом, который случайно выбирается из семи вариантов:

Your life burn faster, obey your master... Chop your breakfast on a mirror... Veins that pump with fear, sucking darkest clear... Taste me you will see, more is all you need... I will occupy, I will help you die... I will run through you, now I rule you too... Master of Puppets, I'm pulling your strings...

Вирус также уделяет внимание антивирусным прогарммам и пытается блокировать их работу. Каждый раз при запуске зараженных PE EXE-файлов вирус ищет в текущем каталоге антивирусные файлы данных и уничтожает их: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT. Вирус также ищет активный AVP Monitor и пытается принудительно завершить его работу.

Известная версия вируса содержит ошибку и не в состоянии запустить PE EXE-Файл из шаблона NORMAL.DOT. По причине другой ошибки вирус портит некоторые PE EXE-файлы WinNT.

Вирус содержит строку-"копирайт":

(c) Vecna

Во многих вирусных процедурах заметны следы вируса "Fabi"

- похоже, что вирус "Cocaine" написан "по мотивам" "Fabi", - и даже в некоторых случаях зараженные файлы могут быть детестированы как вирус "Fabi".


Содержание раздела