Fabi es el primer virus con la peculiaridad de infectar ejecutables
Win32 (PE) y Documentos de Word (8.0). La filosofía del virus es la
mera infección y distribución, ya que no dispone de payload (efecto).
Desde el punto de vista de infección de PE (Portable Executable),
no es residente sino de acción inmediata, infectando los ficheros
del directorio de ejecución, además del directorio de Windows y
el directorio system.
La infección desde PE, además de infectar ejecutables win32, tiene
capacidad para infectar documentos de Word, para ello el virus sigue
los siguientes pasos:
1) Genera un pequeño fichero PE sano.
2) Infecta ese fichero que tiene por nombre FABI.SYS.
3) Genera el código de macro en FABI.SRC incluyendo el dropper de PE
con script de debug. Este fichero será importado por la Normal.dot,
que el virus modifica, con lo que se podrán infectar documentos de
Word.
Si no fuera por unos pequeños detalles, la infección sería perfecta,
pero la infección de la plantilla NORMAL.DOT desde PE tiene fallos.
El virus intenta modificar la plantilla global NORMAL.DOT desde unos
directorios fijos, en caso de que no exista intenta crearla sin éxito.
Probablemente debido al origen brasileño del virus el autor ha
incluido 3 posibles directorios donde el Word puede estar instalado.
Versión portuguesa, española e inglesa. Los directorios de plantillas
están incluidos literalmente en el código del virus. En la versión
portuguesa e inglesa podrían funcionar, ya que los nombres de los
directorios coinciden con los que utiliza el virus, pero en la
versión española, el autor ha errado en la traducción.
C:\ARQUIV~1/MICROS~1/MODELOS/ NORMAL.DOT (portugués)
C:\ARCHIV~1/MICROS~1/ MODELOS/NORMAL.DOT (español)
C:\PROGRA~1/MICROS~1/TEMPLA~1/NORMAL.DOT (inglés)
En la versión española, el virus supone que las plantillas se guardan
en un directorio MODELOS, que en realidad en esta versión no existe,
con lo que no encontrará la plantilla global NORMAL.DOT.
Otro fallo en la elección de directorios, consiste en haber usado
la versión de nombres cortos, en lugar de nombres largos, ya que si
previamente a la instalación del Office se instala otro producto de
Microsoft, como puede ser el Microsoft Exchange, el directorio
cambia a MICROS~2\…, y además es mucho suponer que el directorio
de instalación sea C:\Archivos de Programa.
En caso de coincidir los directorios con los que tenemos en nuestra
máquina, el virus nos modificará la plantilla NORMAL.DOT de manera
que posteriormente sea capaz de infectar documentos de Word 8.0.
La infección desde Word se realiza al cerrar un documento infectado.
En este momento se ejecuta automáticamente la macro AutoClose que
contiene el código del virus. Esta macro, para infectar ficheros PE
crea un fichero FABI.BAT, cuyo código es el siguiente:
@DEBUG NUL
@COPY C:\FABI.EX C:\FABI.EXE
@C:\FABI.EXE
@DEL C:\FABI.EX >NUL
@DEL C:\FABI.EXE >NUL
@DEL C:\FABI.DRV >NUL
Tras esto, genera un dropper de ejecutable tipo PE en el fichero
FABI.DRV, a través de scripts de DEBUG. A continuación, ejecuta
el dropper (FABI.EXE), que infectará a los ejecutables PE que
encuentre, y finalmente elimina el dropper y los scripts usados
para generarlo.
Dentro de la infección de ficheros PE, se ha podido comprobar que
aunque infecta todos los ejecutables de win32 del directorio actual,
sólo infecta «BIEN» a los de un tamaño menor a 64 KB, aumentando el
tamaño del ejecutable en casi 16 KB. Este tamaño se debe a que
incluye en su interior la plantilla NORMAL.DOT (comprimida con un
formato LZ), que usa para infectar los documentos de Word.
El virus presenta un Bug que hace que la infección en ficheros con
tamaño superior a 64 Kb falle, debido a que sobreescribe el programa
a infectar. Se observa que el fichero no aumenta en tamaño, pero sí
que cambia el punto de entrada del ejecutable y se puede localizar
en el interior el código del virus «machacando» el código sano, con
lo que el fichero infectado queda totalmente inservible.
Responsable del laboratorio de virus
Panda Software
Deja una respuesta