Classe principal: VirWare
Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.Classe: Email-Worm
Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este é um vírus-worm se espalhando em sistemas Win32. O vírus infecta arquivos executáveis Win32, tenta enviar mensagens de e-mail com arquivos anexados infectados, bem como instala um componente backdoor para baixar e gerar "plug-ins" em um sistema afetado. O verme causou uma epidemia global de setembro a outubro de 2000.
O vírus tem uma estrutura incomum. Ele consiste em três componentes diferentes que são executados como programas autônomos (vírus, worm de e-mail e backdoor). O vírus é o componente principal e mantém os programas worm e backdoor em seu código em formato compactado. Ao infectar o sistema, o vírus os extrai e gera:
Estrutura de vírus
� =============== - � O vírus � -> instala o Worm e o Backdoor no sistema, � instalação � então localiza e infecta arquivos executáveis Win32 � e infecção � � rotinas � � --------------- � � Worm code � -> é extraído para arquivo e executado como programa autônomo Compress (comprimido) � � --------------- � � Código backdoor � -> é extraído para arquivo e executado como programa autônomo Compress (comprime) � L =============== -
Arquivo EXE infectado
� =============== - � Código do arquivo � � e dados � � � � =============== � � Código do vírus: � � --------------- � �� Instalação�� ��e infecção�� � + ------------- + � �� Worm �� � + ------------- + � �� Backdoor �� --L -------------- � L =============== -
O código do worm não contém todas as rotinas necessárias para infectar o sistema, sendo enviado como anexo em uma mensagem de e-mail infectada (veja abaixo). O worm precisa de "ajuda" do componente de vírus e é enviado como infectado pelo vírus (o arquivo do worm é infectado pelo vírus como um arquivo comum e depois enviado). A razão para tal método não é clara, mas provavelmente os componentes foram escritos por pessoas diferentes.
O componente Virus contém as strings de texto:
SABI�.b ViRuS
Software fornecido por [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Todos os caras do VX em #virus e Vecna nos ajudam
Visite-nos em:
http://www.coderz.net/matrix
O componente worm contém as cadeias de texto:
Software fornecido pela equipe [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Todo o cara VX no canal #virus e Vecna
Visite-nos: www.coderz.net/matrix
O Backdoor contém o texto:
Software fornecido pela equipe [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 códigos fonte e idéias
O componente de vírus
O vírus usa a tecnologia "Entry Point Obscuring" ao infectar um arquivo. Isso significa que o vírus não afeta o arquivo em seu código de entrada, mas coloca uma instrução "Jump Virus" em algum lugar no meio da seção do código do arquivo para tornar os procedimentos de detecção e desinfecção mais complexos. Como resultado, o vírus é ativado somente no caso de uma ramificação correspondente do programa afetado receber o controle.
O vírus também é criptografado, então, antes de mais nada, ele se descriptografa quando seu código ganha controle. O vírus procura as funções necessárias da API do Win32, examinando o kernel do Win32. Para fazer isso, o vírus tenta os endereços Win9x, WinNT e Win2000.
O vírus então procura por programas antivírus ativos no sistema e sai caso algum deles seja detectado. A lista de programas antivírus que o vírus presta atenção aparece da seguinte forma:
AntiViral Toolkit Pro
Monitor AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan
Em seguida, o vírus instala seus componentes no sistema. Eles são descompactados instalados no diretório do Windows e depois gerados. Existem três arquivos criados e eles têm um conjunto de atributos oculto e os seguintes nomes:
IE_PACK.EXE - código puro do Worm
WIN32.DLL - código do Worm infectado pelo vírus (como "Arquivo infectado" acima)
MTX_.EXE - código backdoor
O vírus, em seguida, infecta arquivos EXE executáveis do Win32 em diretórios atuais, temporários e do Windows e, em seguida, sai.
Minhoca
Para enviar mensagens infectadas, o worm usa a tecnologia que, pela primeira vez, foi encontrada no worm de Internet "Feliz" (também conhecido como Happy99, também conhecido como SKA).
O worm afeta o arquivo WSOCK32.DLL no diretório de sistema do Windows, anexando um componente de seu código ao final do arquivo e conectando a rotina "enviar" WSOCK32.DLL. Como resultado, o worm monitora todos os dados enviados de um computador afetado para a Internet.
Normalmente, o arquivo WSOCK32.DLL está em uso no momento em que o worm é iniciado e está bloqueado para gravação. Para evitar isso, o worm usa um método padrão: ele cria uma cópia do WSOCK32.DLL original com um nome WSOCK32.MTX, afeta essa cópia e grava "substituir o arquivo original por infectado" no arquivo WININIT.INI:
NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX
onde "C: WINDOWSSYSTEM" é o nome do diretório de sistema do Windows e pode ser diferente dependendo do nome do diretório do Windows instalado.
Na próxima reinicialização, o WSOCK32 infectado substitui o original, e o worm obtém acesso aos dados que são enviados da máquina infectada. O worm presta atenção a sites da Internet (Web, ftp) que são visitados, bem como a mensagens de e-mail enviadas de um computador.
O comportamento muito visível do vírus é devido ao fato de que ele impede a capacidade de visitar vários sites da Internet, bem como desabilita o envio de mensagens para os mesmos domínios (eles são nomes de domínio antivírus). O vírus os detecta por combinações de quatro letras que aparecem da seguinte maneira:
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
uma taxa
Yenn
lywa
tbav
yman
O worm também não permite o envio de mensagens de e-mail para esses domínios:
wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
aterramento. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
bem sucedido*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *
O worm também intercepta mensagens de e-mail que são enviadas e tenta enviar uma mensagem duplicada com um anexo infectado para o mesmo endereço (o mesmo que o worm "Feliz"). Como resultado, um endereço de vítima deve receber duas mensagens: primeiro, é a mensagem original, escrita por um remetente; segundo, vem uma mensagem com um assunto vazio e texto e um arquivo anexado que tem um dos nomes que são selecionados pelo worm dependendo da data atual:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Como um arquivo anexado, o worm usa o arquivo WIN32.DLL que foi descartado pelo componente de vírus.
Observação: o worm não elimina o arquivo WIN32.DLL, mas usa esse arquivo para anexá-lo às mensagens enviadas. Assim, o "worm puro" não é capaz de se espalhar mais de uma vez: sendo executado em uma máquina vítima, o worm infectará o WSOCK32.DLL, mas não poderá enviar suas cópias ainda mais. Para "consertar este problema", o worm envia sua cópia infectada (o WIN32.DLL é um componente do worm infectado por um componente de vírus, veja acima).
A modificação conhecida do worm tem um bug em sua rotina de propagação e o servidor de e-mail, em muitos casos, não recebe mensagens afetadas da máquina infectada. Apesar disso, se o sistema tiver conexão dial-up, ou o servidor de e-mail for rápido o suficiente, o worm envia suas cópias sem problemas.
Porta dos fundos
Sendo executado, um componente Backdoor cria uma nova chave no registro do sistema que indica que a máquina já está infectada:
HKLMSoftware [MATRIX]
Caso esta chave exista, o Backdoor pula o procedimento de instalação. Caso contrário, ele se registrará na seção de execução automática:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE
onde% WinDir% é o diretório do Windows.
O Backdoor fica ativo no Windows como um aplicativo oculto (serviço) e executa uma rotina que se conecta a algum servidor da Internet, obtém os arquivos de lá e os gera no sistema. Assim, o Backdoor pode infectar o sistema com outros vírus ou instalar programas de Trojan ou backdoors mais funcionais.
Esse componente na versão de vírus conhecida também possui um bug que causa uma mensagem padrão do Windows sobre um erro no aplicativo quando um backdoor tenta acessar um site da Internet.
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com