Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o červ, který se připojuje k e-mailovým zprávám. Červa funguje pouze v systémech Win32. Červ obsahuje komponenty (pluginy) ve svém kódu, které jsou spuštěny v závislosti na potřebách červů a tyto součásti lze upgradovat z internetového serveru.
Hlavní červové verze jsou zašifrovány polopolymorfní šifrovací smyčkou.
Červ obsahuje textové řetězce:
HYBRIS
(c) Vecna
Červ běhá
Hlavním cílem červa v počítači je knihovna WSOCK32.DLL. Při napadení tohoto souboru červ:
- píše se do konce poslední části souboru
- háčky "připojit", "recv" a "odeslat" funkce
- modifikuje rutinní adresu položky DLL (rutina, která je aktivována při načtení souboru DLL) a šifruje původní vstupní rutinu
Pokud červ nemůže infikovat WSOCK32.DLL (v případě, že je používán a je uzamčen pro psaní), virus vytvoří kopii této knihovny (kopie WSOCK32.DLL s náhodným názvem), infikuje ji a zapíše "přejmenovat" na soubor WININIT.INI. V důsledku toho bude WSOCK32.DLL nahrazen infikovaným obrazem při příštím spuštění systému Windows.
Červ vytváří také kopii s náhodným názvem v adresáři systému Windows a registruje jej v klíči registru RunOnce:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName nebo
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName kde% WinSystem% je systémový adresář systému Windows a "WormName" je náhodný osm symbolů název, například:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
Existuje pouze možný důvod pro registraci další kopie červa v klíči registru "RunOnce": v případě, že WSOCK32.DLL nebyl během prvního spuštění šneku infikován a jeho infikovaná kopie nebyla z nějakého důvodu vytvořena, červ "RunOnce" kopie dokončí úkol při příštím restartování systému Windows.
Nakažený WSOCK32.DLL
Červ zachycuje funkce systému Windows, které vytvářejí síťové připojení, včetně Internetu. Červ zachycuje data, která jsou odesílána a přijímána, a prohledává je pro e-mailové adresy. Je-li nalezena adresa (adresy), červa čeká nějakou dobu a poté odesílá na tuto / tyto adresu (y) infikovanou zprávu.
Pluginy
Funkce červa závisí na zásuvných modulech, které jsou uloženy v těle červů šifrované algoritmem krypto typu RSA, který má 128bitový klíč. Existuje až 32 pluginů, které lze nalézt v různých šnech verzích. Tyto pluginy provádějí různé akce, které mohou být aktualizovány z webové stránky:
http://pleiku.vietmedia.com/bye/
takže kompletní funkčnost červa závisí pouze na hostiteli, který je schopen upgradovat pluginy na webové stránce. Zásuvné moduly na stránce jsou zašifrovány kryptem typu RSA.
Červ také aktualizuje své pluginy pomocí diskusní skupiny alt.comp.virus. Červ, který je aktivní na počítači, se připojí k serveru zpráv (pomocí jednoho z náhodně vybraných serverů - v seznamu je více než 70 adres), převede své pluginy na zprávy z diskusních skupin a pošle je tam. Zprávy červa mají náhodný předmět, například:
encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ
kde první čtyři práce jsou plugin "name" a následující čtyři práce jsou kódovaný plugin "verze". Stejně jako odesílání červa čte takové zprávy z alt.comp.virus, získá plugin "name" a "version" a porovnává je s pluginy, které v současné době používá červ. V případě, že diskusní skupina má zprávu s vyšší verzí pluginu, červec ji vytáhne a nahradí ji. Takže červ používá alt.comp.virus, aby upgradoval své pluginy.
Červ také vytváří tyto pluginy jako diskové soubory v adresáři systému Windows. Mají také náhodné jméno, ale červa stále má přístup k nim. Názvy mohou vypadat následovně:
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA
Existuje několik různých známých pluginů, které:
1. Infikujte všechny ZIP a RAR archivy na všech dostupných discích od C: do Z :. Během infekce červa přejmenuje soubory EXE do archivu s příponou .EX $ a přidá do archivu kopii s příponou .EXE (doprovodná metoda infekce).
2. Pošlete zprávy s kódovanými pluginy do skupiny "alt.comp.virus" a získejte od nich nové pluginy.
3. Rozšiřte virus na vzdálené počítače, které mají nainštalovaný SubSeven backdoor Trojan. Zásuvný modul detekuje takové stroje na síti a pomocí příkazů SubSeven nahrává červenou kopii do počítače a spouští ji tam.
4. Před zašlením kopie připojené k e-mailu šifrujte kopie šneku pomocí polymorfní šifrovací smyčky.
5. V závislosti na datu a čase systému (16. a 24. září a 59 minut každé hodiny od roku 2001 - ve známých pluginů) se spirálový efekt spustí.
Zásuvný modul vytvoří náhodné 8bajtové jméno .EXE v adresáři systému Windows, rozbalí zde EXE kód "spirální efekt" a registruje tento soubor v systému:
pod Win9x: v souboru Win.ini v [windows] "run =" řádek pod WinNT: v registru systému v "Run =" klíč
6. Ovlivňuje soubory DOS EXE a Windows PE EXE. Červ se jich dotýká, takže se stanou červenými kapátky. Při spuštění spustit soubor EXE do adresáře TEMP a spustit jej.
Při ovlivňování souboru DOS EXE doplněk přidává do konce souboru kód kapky a červa červa. Tyto soubory jsou dezinfikovatelné.
Zatímco se jedná o soubor Windows PE EXE, plugin přepíše část kódu kódu, aby získala mezeru pro kód červů a zapíše kód štěpky do této mezery (pokud má dostatečnou velikost). Zásuvný modul se nedotýká záhlaví souboru (včetně adresy vstupního bodu) a nezvyšuje velikost souboru. Kromě toho má anti-CRC (chechsum) rutina, která vyplňuje speciální data v kódu pluginu, takže soubor CRC se stává stejným pro několik běžně používaných CRC algoritmů. To znamená, že některé kontroly integrity nezjistí změny v postižených souborech: délka souboru a CRC těla souboru zůstávají stejné jako u čistého souboru.
Když je spuštěn takový soubor PEE EXE, kvapkový kód klesne a aktivuje červ, pak obnoví (rozbalí) kódovou sekci a vrátí kontrolu do hostitelského souboru.
7. Náhodně vyberte předmět, Text zprávy a Připojit jméno při odesílání červových kopií e-mailovými zprávami:
Z:
Hahaha [hahaha@sexyfun.net]
Předměty:
Snowhite a sedm trpaslíků - REAL příběh!
Branca de Neve porno!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Texty zpráv:
C'etait un jour avant son dix huitieme anniversaire. Les 7 nevinných, kteří mají příležitost pomoci "blanche neige", touží po tom, co se jim podařilo vykouzlit, aby se jim podařilo překvapit. A 5 heures comou toujours, ils sont rentr�s du travail. K dispozici je také klimatizace.
Dnes se Snowhite otočila 18. 7 trpaslíků vždy, když byli velmi vzdělaní a zdvořilí s Snowhitem. Když vyšli na ranní práci, slibovali * velké * překvapení. Snowhite byl úzkostlivý. Dveře otevřené a sedm trpaslíků vstoupí ...
Faltaba se narodila v neděli 18. prosince. Blanca de Nieve, která se konala v prosinci, se zúčastnila vítězů. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos ...
Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anes prometeram uma * grande * surresa. Jako cinco horas, os anezinhos voltaram do trabalho. Maso na to, co se stalo ... Os sete angezinhos tinham um estranho brilho no olhar ...
Připojit jména:
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exesexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exeblancheneige.exe
sexynain.scr
blanche.scr
nains.exebranca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr
Stejně jako (v závislosti na verzi pluginu):
Předmět zprávy je náhodná kombinace:
Anna + sex Raquel Darian sexy Xena horké Xuxa nejžhavější Suzete cum slavný cumshot celebrita znásilnění nadržený kůže ... atd
Jméno přílohy:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrita rape.exe
skin.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe
Přiložený název souboru může být také náhodný osm bajtů .EXE název, například:
ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com