Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Ganda je červový virus šířící se přes Internet jako přílohu e-mailu. Vloží komponentu do spustitelných souborů Win32 PE EXE a chrání se před antivirovými programy.Červ samotný je soubor Windows PE EXE o velikosti 45056 bajtů. Je napsán v programovacím jazyce Assembleru a obsahuje následující šifrované řetězce:
[WORM.SWEDENSUX] Kódovaný strýcem Rogerem v H�rn�sand, Švédsko, 03.03. Jsem diskriminován švédským školským systémem. To je odpověď na osm dlouhých let diskriminace. Podporuji osvobozovatele zvířat po celém světě.
Zprávy s červem obsahují textové řetězce (sekundární řetězce mohou být ignorovány e-mailovými programy):
--část 1 Obsahový typ: vícenásobný / alternativní; hranice = "část2" --část 2 Obsahový typ: text / prostý; charset = "iso-8859-1" Content-Transfer-Encoding: citovaný-tisknout Myzli! --část 2 Typ obsahu: text / html; charset = "iso-8859-1" Content-Transfer-Encoding: citovaný-tisknout Masážní tělo --část 2-- --část 1 Obsahový typ: aplikace / oktet-stream Content-Transfer-Encoding: base64 Content-Disposition: příloha; název_souboru = "xx.scr"
Název a text zprávy jsou vybrány z následujících variant v angličtině a ve švédštině. Zvolený jazyk závisí na nastavení jazyka počítače.
Švédské varianty zpráv:
Variant 1:
Název: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Tělo zprávy: Hej! Min son visade mig denna sk = E4rmsl = E4skare som jag mist = E4nker kan = bryta mot lagen om hets mot folkgrupp. Eftersom du = E4r verksam som právník, s = E5 vopred jag tacksam f = F6r en fackmans syn p = E5 saken. Tack = p = E5 f = F6rhand.
Variant 2:
Název: Rashets eller inte? Tělo zprávy: Hejsane! Minimální počet dat = E4rare gjorde mig uppm = E4rksam p = E5 at denna = sk = E4rmsl = E4krát m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag atts = E4tta att anv = E4nda den? Svara helst = snarast. Tack p = E5 f = F6rhand.
Varianta 3:
Název: Hakkors. Tělo zprávy: Hej! Min klassf = F6rest = E5ndare gick a taket n = E4r hon fick se = sk = E4rmsl = E4skaren som jag har anv = E4nt pod terminálem tv = E5. Hon = anklagace mig f = F6r antisemitizmus eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r akceptovat detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r.
Variant 4:
Název: Suspekta semaforer. Tělo zprávy: Hejsane! I skolan hittade jag en cs skiva som inneh = F6ll bl.a denna = sk = E4rmsl = E4skare. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll som ren rasistická propaganda. Sj = E4lv tycker = jag inte att det = E4r, n = E5got att orda om. Vore tacksam f = F6r z uppfattning. Tack p = E5 f = F6rhand.
Variant 5:
Název: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Tělo zprávy: Hej! Min minder = E5rige fick denna sk = E4rmsl = E4skare p = E5 en CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4ttt p = E5 vilket = rasistiska a nazistiska propagandist do = E5ts f = F6rmedla sin = avskyv = E4rda ideologitill stodola. Jag = F6verv = E4Ger nu att polisanm = E4la detta tilltag s = E5 = snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6rhand.
Variant 6:
Název: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? = Tělo zprávy: Hejsane! Jag = F6verv = E4gru att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = přestože se jedná o nedosažitelnost = E5tande attityd gentemot = F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med ze syn p = E5 saken. Tack p = E5 f = F6rhand.
Variant 7:
Název: Go ack ack ack .... Tělo zprávy: Hej igen! Den h = E4r sk = E4rmsl = E4skaren verkar vara americký parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4I dig = bara. :-)
Variant 8:
Název: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Tělo zprávy: Hej igen! H = E4r = E4r sk = E4rmsl = Číslo čísla 4. Kolla v den och tala sedan om = f = F6r přemístění George W Bush INTE = E4r en rymdvarelse. ;-)
Variant 9:
Název: Prezident Korkad. Tělo zprávy: Hej igen! H = E4r = E4r sk = E4rmsl = E4skaren som jag snackade om. George W Bush verkar inte vara allf = F6r světlý člověk ska troská britská komiker. ":-)
Variant 10:
Název: Katt, hund, kanin. Tělo zprávy: Hej igen! Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = kopat. Mjau, Voff, Arf Arf .... ;-)
Anglické varianty zpráv:
Variant 1:
Název: Rady pro screensaver. Tělo zprávy: Myslíte si, že tento spořič obrazovky může být považován za nezákonný? By = Uvědomte si, jestli vy nebo někdo z vašich přátel mohl zkontrolovat to a = odpovězte co nejdříve lidsky možné. Děkuji!
Variant 2:
Název: Spy pics. Tělo zprávy: Tady je spořič obrazovky, o němž jsem vám řekl. Obsahuje snímky pořízené pomocí jeden z amerických špionážních satelitů během jedné z jeho misí přes iraq. Pokud = chcete víc z těchto snímků víte, kde mě najdete. Sbohem!
Varianta 3:
Název: GO USA !!!! Tělo zprávy: Tento spořič obrazovky animuje banner s hvězdami. Podporujte prosím = Administrace USA v boji proti terorismu. Díky moc!
Variant 4:
Název: GW Bush animace. Tělo zprávy: Tady je animace, kterou chce FBI zastavit. Zdá se, že federály jsou = snaží se ukončit lidi právo říkat, co si myslí o USA = správa. Bavte se!
Variant 5:
Název: Je USA UFO? Tělo zprávy: Podívejte se na tento spořič obrazovky a pak mi řekněte, že George.W Bush je = ne cizince. ;-)
Variant 6:
Název: Je USA vždy číslo jedna? Tělo zprávy: Někteří zavádějící lidé skutečně věří, že americký život má = větší hodnotu než u jiných národností. Stačí se podívat na = tento pěkný spořič obrazovky a pak budete vědět, o čem mluvím. = Vše nejlepší.
Variant 7:
Název: LINUX. Tělo zprávy: Jste uživatel Windows, který je zvědavý na prostředí linuxu? Toto = spořič obrazovky vám poskytuje náhled na pracovní plochy KDE a GNOME. Co je = více, LINUX je bezplatný systém, což znamená, že si ho může stáhnout někdo.
Variant 8:
Název: Nacistická propaganda? Tělo zprávy: Tento spořič obrazovky byl v Německu zakázán. Obsahuje číslo = animované symboly, které mohou souviset s nacistickou kulturou. Co děláš = myslíš, je to legitimní zákaz nebo ne? Prosím odpovězte nejdříve. Děkuji!
Variant 9:
Název: Catlover. Tělo zprávy: Pokud máte rádi kočky, budete milovat tento spořič obrazovky. Je to čtyři animované = koťata pobíhající na obrazovce. Kontaktujte mě pro více klipartů. Máte = zábava! ;-)
Variant 10:
Název: Nechutná propaganda. Tělo zprávy: Ahoj! Můj 12 letý dělník dostal tento spořič obrazovky na CDROM, který = byl jí zaslán prostřednictvím reklamy. Zdá se mi to znepokojivé, že děti = jsou nyní cíle nacistických organizací. Chtěl bych ocenit, že slyším = od vás v této věci co nejdříve. Děkuji.
Název souboru přílohy následuje systém, kde je název:
xx.scr (kde "XX" je dvě náhodná písmena od "a" do "z")
Červ se aktivuje pouze v případě, že uživatel klikne na infikovaný připojený soubor. Červ se pak instaluje do systému a provozuje jeho rozšiřující rutinu a užitečné zatížení.
Instalace
Během instalace se červ spojí s adresářem Windows pod názvem SCANDISK.exe a zaregistruje tento soubor v klíči automatického spuštění registru systému.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk =SCANDISK.exe
Červ se rovněž kopíruje pod náhodným jménem (dlouhý 8 znaků a písmena od 'a' do 'z' + '.exe') do adresáře Windows.
Šíření
Chcete-li odeslat infikované zprávy, červa používá server SMTP. Skenuje databázi WAB a vyhledává soubory podle masky: "* .eml", "*. * Htm *", "* .dbx" a skenuje e-mailové adresy uvnitř těchto souborů.
Červ vloží svoji součást do následujících typů spustitelných souborů: Win32 PE EXE
Červ hledá lokální disk pro všechny soubory .EXE a .SCR a vyhledává speciální příkazy. Pokud jsou tyto příkazy nalezeny, vloží jejich komponent do poslední části souborů PE. Červa také vloží příkaz JMP do PE souborů. Vložená součást provede z hlavního adresáře systému Windows hlavní těleso červa. Kód komponent obsahuje následující řetězce:
KERNEL32.DLL VytvořitProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE
Ganda červ se brání proti antivirovým programům. Červ ukončí aktivní procesy v kódu, který obsahuje následující textové řetězce:
virus firewall f-bezpečné symantec mcafee pc-cillin trend micro kaspersky sophos norton
Ganda skenuje uvnitř souborů ze stromového stromu registru systému:
HKLMSystemCurrentControlSetServicesVxD
a odstraní položky pro soubory s antivirovými řetězci. Červ také skenuje uvnitř souborů, které ukazují na klíče registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Ganda červ vloží příkaz RET do vstupního bodu souborů, u nichž se zjistí, že obsahují antivirové řetězce.
Užitné zatížení
Červ vysílá e-mailovou zprávu pokaždé, když infikuje stroj, zpráva obsahuje následující charakteristiky:
Z: skrattahaha@hotmail.comNa: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
Název nebo předmět zprávy je:
DISKRIMINERAD !!!!
Tělo zprávy obsahuje text napsaný ve švédském jazyce.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com