w32.icabdi.a, w32.icabdi.a!js, pe_icabdi.a
tipo: virus
tama?o: 8,192 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.9 al 05/03/2006. descripción:
w32/icabdi.a, es un virus que intenta infectar archivos con extensiones .xsn, la extensi?n pertenece a archivos de ms office infopath.
cuando el virus es ejecutado crea una carpeta temporal de nombre icab, seguidamente busca archivos con la extensi?n .xsn (archivo cab comprimidos) y los copia dentro de la carpeta temporal creada anteriormente para luego extraer los archivos que se encuentran dentro del archivo .xsn, utilizando el siguiente comando:
system \extrac32.exe /e /a [ nombre_ archivo] .xsn
intentar? modificar el archivo script.js que extrae del archivo .xsn, injectandole c?digo malicioso al inicio de la siguiente funci?n entro del archivo:
xdocument::onload
esto permite la ejecuci?n del c?digo malicioso al abrir archivos con extensi?n .xsn, si esta funci?n no existe en el archivo script.js o si el script contiene el texto icab el virus no infectara el archivo.
seguidamente crea una lista de los archivos que contiene el archivo .xsn, la relaci?n es guardada dentro del archivo icabdire.txt
luego reempaqueta los archivos extra?dos anteriormente del archivo .xsn y incluido el script infectado dentro de un archivo de nombre disk1.cab ejecutando el siguiente comando:
makecab /f icabdire.txt
seguidamente intenta reemplazar el archivo .xsn original con el archivo disk1.cab
luego intentar? eliminar el archivo icabdire.txt y la carpeta icab con todos los archivos .xsn copiados en este.
cuando un archivo .xsn es abierto se ejecuta el script infectado, el cual pega una versi?n codificada y ejecutable del virus de nombre icab.txt dentro de la unidad c:, luego decodifica este archivo como el siguiente archivo icab.exe dentro de la unidad c:
finalmente al realizar estos procesos el script visualiza una ventana pop-up con uno de los siguientes mensajes aleatorios:
let the bells of freedom ring!
- (magicians birthday by uriah heep)
-----------------------
no gods, no masters - against all authority: anarchism!
-----------------------
freedom is just another word for nothing left to lose!
- (me and bobby mcgee by janis joplin)
-----------------------
im not a prisoner - im a free man!
- (the prisoner by iron maiden)
-----------------------
sometime they will give a war and nobody will come!
- (by carl sandberg)
-----------------------
fighting for peace is like [removed] for virginity!
-----------------------
the easiest way to gain control of the population is to carry out acts of terror the public will clamor for such laws if the personal security is threatened.
- (by joseph stalin)
-----------------------
our word is our weapon.
- (by subcomandante marcos)
-----------------------
i do not know with what weapons world war iii will be fought, but world war iv will be fought with sticks and stones.
- (by albert einstein)
-----------------------
this proof-of-concept infopath virus has been done by [second part [removed]]
[http://]www.spth.de.vu
[http://]www.spth.de.vu
despu?s de que las ventanas pop-up son visualizadas, el script intenta ejecutar el archivo icab.exe que se encuentra en la unidad c:

Comentarios (17) - Votos (0) - leido 120