Bacros: il virus vecchio stile

Bacros: il virus vecchio stile

Dopo che abbiamo visto worm di tutti i tipi, tornano di moda i virus vecchio stampo

di pubblicata il , alle 08:43 nel canale Sicurezza
 

Sembra incredibile, eppure nel 2004 esistono ancora i virus che si diffondono via floppy. Ne è un tipico esempio il virus Bacros, isolato nei primi giorno di Settembre.
Il virus si diffonde attraverso i documenti di word, i floppy e i cdrom.
Scritto in Borland Delphi, le dimensioni di Bacros sono di 356352 bytes.

Una volta lanciato il file infetto il virus si installa sotto la directory di sistema di Windows come
%WinSysDir%\mssys.exe
%WinSysDir%\sys.exe
%WinSysDir%\msdosdrv.exe

e aggiunge le seguenti voci di registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSys" = "%WinSysDir%\mssys.exe -d"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t"

Al successivo riavvio il virus sarà eseguito con i parametri -d e -t.

Con il parametro -t il virus crea un documento Word infetto con la macro W97M/Bacros.A all'interno della cartella documenti e all'interno della directory di sistema con il nome di "WordInfo.doc". Inoltre tenta di disabilitare da registro la protezione di MS Office dai macro virus.

Con il parametro -d il virus controlla la data del sistema. Se il giorno del mese è il 10, 20 o 30 il virus apre il file WordInfo.doc lanciando di conseguenza la macro che infetta il file Normal.dot. Tutti i documenti che verranno aperti o chiusi verranno infettati dalla macro.
Inoltre la macro tenta di copiare il file sys.exe all'interno del floppy come ReadMy.exe, ma dopo un'analisi sembra che la funzione sia buggata.

Se il giorno del mese è qualunque altro esclusi quelli sopra elencati, il virus tenta di infettare i cdrom.
Bacros tenta di scrivere il file ReadMy.exe all'interno di un CD-R, con relativo Autorun.inf in modo da essere eseguito automaticamente quando il cd verrà inserito nel computer. Questa procedura funzionerà solamente se il pc ha un masterizzatore e ha installato un programma di packet-writing tipo Nero InCD.

Se il giorno del mese è il 2 il virus cerca su tutti gli hard disk i files .txt e crea una copia di sé stesso per ogni file trovato con il nome del file di testo.

Se il giorno del mese è il 1 il virus rimpiazza tutti i files .gif all'interno degli hard disk con una gif contenente il testo "Kuole Jehova". La frase, finlandese, starebbe a significare "Muori Jehovah".

Se la data del mese è il 6 Dicembre, il giorno d'indipendenza finlandese, il virus inserisce come background sul desktop una piccola bandiera finlandese.

Se la data è il 25 Dicembre, infine, il virus cancella tutti i files sull'hard disk.

Per chi insomma pensava che virus del genere fossero oramai estinti, Bacros ne è una testimonianza "vivente".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
closhar16 Ottobre 2004, 08:53 #1
sembra un pesce d'aprile
Onda Vagabonda16 Ottobre 2004, 08:59 #2

A pensarci bene...

Spesso sono proprio le cose semplice a "fregarti".
Tu ti installi un paio di antivirus, ti aggiorni il sistema, navighi con firewall e quant'altro; poi arriva un tuo amico ti molla un floppy ed ecco fatto probabilmente non sei protetto attraverso quella porta...
Onda Vagabonda16 Ottobre 2004, 09:06 #3

A pensarci bene 2

Oppure è contro, e sono tanti, coloro i quali non navigano in rete. Probabilmente non hanno nemmeno un antivirus...
Tu gli dai un floppino con un documento ed il gioco è bello e fatto, probabilmente non sono nemmeno in grado di provvedere da soli, guardate che ne ho visti tanti non sto raccontando ca***te, devono prendere fisicamente il PC ed andare in un negozio (chiamasi 50 euro) per fare un lavoretto di 1 minuto.
VISTO COSì SAREBBE UNA BELLA PENSATA...
Sig. Stroboscopico16 Ottobre 2004, 09:08 #4

x Onda Vagabonda

guarda che tutti gli antivirus controllano sempre il floppy e tutti i files che esegui mentre usi il pc (tipo relativi a office, eseguibili, ect).

Ciao
rocchi8416 Ottobre 2004, 10:57 #5

e il 27??

...che fa prende lo stipendio?? :d
jappilas16 Ottobre 2004, 11:42 #6

mi chiedevo...

... i moderni antivirus cercheranno ancora Stoned e gli altri virus da boot sector usciti negli anni 80?
Bisont16 Ottobre 2004, 12:25 #7
penso di si....
Scezzy16 Ottobre 2004, 12:29 #8
Ma certo che SI caro Jappilas. Noi qui in laboratorio abbiamo 4 floppy e in ognuno ci sono virus di DIVERSE epoche. Nel floppy piu' vecchio ci sono tra gli altri Jerusalem, November 17th, CIH, Jankee Doodle...

MaxArt16 Ottobre 2004, 12:39 #9

356352 bytes?

Piccolino, direi... ^^
E pensare che November 17th occupava appena 855 bytes (da cui il nome alternativo, 855 per l'appunto).
icoborg16 Ottobre 2004, 13:17 #10

Re: mi chiedevo...

Originariamente inviato da jappilas
... i moderni antivirus cercheranno ancora Stoned e gli altri virus da boot sector usciti negli anni 80?



mitico stoned^^ lo presi sul 286

avevo una raccolta di virus da passare agli "amici" ahahah

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^