Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o červ, který se připojuje k e-mailovým zprávám. Červa funguje pouze v systémech Win32. Červ obsahuje komponenty (pluginy) ve svém kódu, které jsou spuštěny v závislosti na potřebách červů a tyto součásti lze upgradovat z internetového serveru.

Hlavní červové verze jsou zašifrovány polopolymorfní šifrovací smyčkou.

Červ obsahuje textové řetězce:

HYBRIS
(c) Vecna

Červ běhá

Hlavním cílem červa v počítači je knihovna WSOCK32.DLL. Při napadení tohoto souboru červ:

píše se do konce poslední části souboru
háčky "připojit", "recv" a "odeslat" funkce
modifikuje rutinní adresu položky DLL (rutina, která je aktivována při načtení souboru DLL) a šifruje původní vstupní rutinu

Pokud červ nemůže infikovat WSOCK32.DLL (v případě, že je používán a je uzamčen pro psaní), virus vytvoří kopii této knihovny (kopie WSOCK32.DLL s náhodným názvem), infikuje ji a zapíše "přejmenovat" na soubor WININIT.INI. V důsledku toho bude WSOCK32.DLL nahrazen infikovaným obrazem při příštím spuštění systému Windows.

Červ vytváří také kopii s náhodným názvem v adresáři systému Windows a registruje jej v klíči registru RunOnce:

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName

nebo

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName

kde% WinSystem% je systémový adresář systému Windows a "WormName" je náhodný osm symbolů název, například:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Existuje pouze možný důvod pro registraci další kopie červa v klíči registru "RunOnce": v případě, že WSOCK32.DLL nebyl během prvního spuštění šneku infikován a jeho infikovaná kopie nebyla z nějakého důvodu vytvořena, červ "RunOnce" kopie dokončí úkol při příštím restartování systému Windows.

Nakažený WSOCK32.DLL

Červ zachycuje funkce systému Windows, které vytvářejí síťové připojení, včetně Internetu. Červ zachycuje data, která jsou odesílána a přijímána, a prohledává je pro e-mailové adresy. Je-li nalezena adresa (adresy), červa čeká nějakou dobu a poté odesílá na tuto / tyto adresu (y) infikovanou zprávu.

Pluginy

Funkce červa závisí na zásuvných modulech, které jsou uloženy v těle červů šifrované algoritmem krypto typu RSA, který má 128bitový klíč. Existuje až 32 pluginů, které lze nalézt v různých šnech verzích. Tyto pluginy provádějí různé akce, které mohou být aktualizovány z webové stránky:

http://pleiku.vietmedia.com/bye/

takže kompletní funkčnost červa závisí pouze na hostiteli, který je schopen upgradovat pluginy na webové stránce. Zásuvné moduly na stránce jsou zašifrovány kryptem typu RSA.

Červ také aktualizuje své pluginy pomocí diskusní skupiny alt.comp.virus. Červ, který je aktivní na počítači, se připojí k serveru zpráv (pomocí jednoho z náhodně vybraných serverů – v seznamu je více než 70 adres), převede své pluginy na zprávy z diskusních skupin a pošle je tam. Zprávy červa mají náhodný předmět, například:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ

kde první čtyři práce jsou plugin "name" a následující čtyři práce jsou kódovaný plugin "verze". Stejně jako odesílání červa čte takové zprávy z alt.comp.virus, získá plugin "name" a "version" a porovnává je s pluginy, které v současné době používá červ. V případě, že diskusní skupina má zprávu s vyšší verzí pluginu, červec ji vytáhne a nahradí ji. Takže červ používá alt.comp.virus, aby upgradoval své pluginy.

Červ také vytváří tyto pluginy jako diskové soubory v adresáři systému Windows. Mají také náhodné jméno, ale červa stále má přístup k nim. Názvy mohou vypadat následovně:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Existuje několik různých známých pluginů, které:

1. Infikujte všechny ZIP a RAR archivy na všech dostupných discích od C: do Z :. Během infekce červa přejmenuje soubory EXE do archivu s příponou .EX $ a přidá do archivu kopii s příponou .EXE (doprovodná metoda infekce).

2. Pošlete zprávy s kódovanými pluginy do skupiny "alt.comp.virus" a získejte od nich nové pluginy.

3. Rozšiřte virus na vzdálené počítače, které mají nainštalovaný SubSeven backdoor Trojan. Zásuvný modul detekuje takové stroje na síti a pomocí příkazů SubSeven nahrává červenou kopii do počítače a spouští ji tam.

4. Před zašlením kopie připojené k e-mailu šifrujte kopie šneku pomocí polymorfní šifrovací smyčky.

5. V závislosti na datu a čase systému (16. a 24. září a 59 minut každé hodiny od roku 2001 – ve známých pluginů) se spirálový efekt spustí.

Zásuvný modul vytvoří náhodné 8bajtové jméno .EXE v adresáři systému Windows, rozbalí zde EXE kód "spirální efekt" a registruje tento soubor v systému:

pod Win9x: v souboru Win.ini v [windows] "run =" řádek pod WinNT: v registru systému v "Run =" klíč

6. Ovlivňuje soubory DOS EXE a Windows PE EXE. Červ se jich dotýká, takže se stanou červenými kapátky. Při spuštění spustit soubor EXE do adresáře TEMP a spustit jej.

Při ovlivňování souboru DOS EXE doplněk přidává do konce souboru kód kapky a červa červa. Tyto soubory jsou dezinfikovatelné.

Zatímco se jedná o soubor Windows PE EXE, plugin přepíše část kódu kódu, aby získala mezeru pro kód červů a zapíše kód štěpky do této mezery (pokud má dostatečnou velikost). Zásuvný modul se nedotýká záhlaví souboru (včetně adresy vstupního bodu) a nezvyšuje velikost souboru. Kromě toho má anti-CRC (chechsum) rutina, která vyplňuje speciální data v kódu pluginu, takže soubor CRC se stává stejným pro několik běžně používaných CRC algoritmů. To znamená, že některé kontroly integrity nezjistí změny v postižených souborech: délka souboru a CRC těla souboru zůstávají stejné jako u čistého souboru.

Když je spuštěn takový soubor PEE EXE, kvapkový kód klesne a aktivuje červ, pak obnoví (rozbalí) kódovou sekci a vrátí kontrolu do hostitelského souboru.

7. Náhodně vyberte předmět, Text zprávy a Připojit jméno při odesílání červových kopií e-mailovými zprávami:

Z:

Hahaha [hahaha@sexyfun.net]

Předměty:

Snowhite a sedm trpaslíků – REAL příběh!

Branca de Neve porno!

Enanito si, pero con que pedazo!

Les 7 coquir nains

Texty zpráv:

C'etait un jour avant son dix huitieme anniversaire. Les 7 nevinných, kteří mají příležitost pomoci "blanche neige", touží po tom, co se jim podařilo vykouzlit, aby se jim podařilo překvapit. A 5 heures comou toujours, ils sont rentr�s du travail. K dispozici je také klimatizace.

Dnes se Snowhite otočila 18. 7 trpaslíků vždy, když byli velmi vzdělaní a zdvořilí s Snowhitem. Když vyšli na ranní práci, slibovali * velké * překvapení. Snowhite byl úzkostlivý. Dveře otevřené a sedm trpaslíků vstoupí …

Faltaba se narodila v neděli 18. prosince. Blanca de Nieve, která se konala v prosinci, se zúčastnila vítězů. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos …

Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anes prometeram uma * grande * surresa. Jako cinco horas, os anezinhos voltaram do trabalho. Maso na to, co se stalo … Os sete angezinhos tinham um estranho brilho no olhar …

Připojit jména:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr

Stejně jako (v závislosti na verzi pluginu):

Předmět zprávy je náhodná kombinace:

 Anna + sex
 Raquel Darian sexy
 Xena horké
 Xuxa nejžhavější
 Suzete cum
 slavný cumshot
 celebrita znásilnění nadržený
 kůže ... atd

Jméno přílohy:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrita rape.exe
skin.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

Přiložený název souboru může být také náhodný osm bajtů .EXE název, například:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

Účinek

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o červ, který se připojuje k e-mailovým zprávám. Červa funguje pouze v systémech Win32. Červ obsahuje komponenty (pluginy) ve svém kódu, které jsou spuštěny v závislosti na potřebách červů a tyto součásti lze upgradovat z internetového serveru. Hlavní červové verze jsou zašifrovány polopolymorfní šifrovací smyčkou. Červ obsahuje textové řetězce: HYBRIS (c) Vecna Červ běhá Hlavním cílem červa v počítači je knihovna WSOCK32.DLL. Při napadení tohoto souboru červ: píše se do konce poslední části souboru háčky "připojit", "recv" a "odeslat" funkce modifikuje rutinní adresu položky DLL (rutina, která je aktivována při načtení souboru DLL) a šifruje původní vstupní rutinu Pokud červ nemůže infikovat WSOCK32.DLL (v případě, že je používán a je uzamčen pro psaní), virus vytvoří kopii této knihovny (kopie WSOCK32.DLL s náhodným názvem), infikuje ji a zapíše "přejmenovat" na soubor WININIT.INI. V důsledku toho bude WSOCK32.DLL nahrazen infikovaným obrazem při příštím spuštění systému Windows. Červ vytváří také kopii s náhodným názvem v adresáři systému Windows a registruje jej v klíči registru RunOnce: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName nebo HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Výchozí} =% WinSystem% WormName kde% WinSystem% je systémový adresář systému Windows a "WormName" je náhodný osm symbolů název, například: CCMBOIFM.EXE LPHBNGAE.EXE LFPCMOIF.EXE Existuje pouze možný důvod pro registraci další kopie červa v klíči registru "RunOnce": v případě, že WSOCK32.DLL nebyl během prvního spuštění šneku infikován a jeho infikovaná kopie nebyla z nějakého důvodu vytvořena, červ "RunOnce" kopie dokončí úkol při příštím restartování systému Windows. Nakažený WSOCK32.DLL Červ zachycuje funkce systému Windows, které vytvářejí síťové připojení, včetně Internetu. Červ zachycuje data, která jsou odesílána a přijímána, a prohledává je pro e-mailové adresy. Je-li nalezena adresa (adresy), červa čeká nějakou dobu a poté odesílá na tuto / tyto adresu (y) infikovanou zprávu. Pluginy Funkce červa závisí na zásuvných modulech, které jsou uloženy v těle červů šifrované algoritmem krypto typu RSA, který má 128bitový klíč. Existuje až 32 pluginů, které lze nalézt v různých šnech verzích. Tyto pluginy provádějí různé akce, které mohou být aktualizovány z webové stránky: http://pleiku.vietmedia.com/bye/ takže kompletní funkčnost červa závisí pouze na hostiteli, který je schopen upgradovat pluginy na webové stránce. Zásuvné moduly na stránce jsou zašifrovány kryptem typu RSA. Červ také aktualizuje své pluginy pomocí diskusní skupiny alt.comp.virus. Červ, který je aktivní na počítači, se připojí k serveru zpráv (pomocí jednoho z náhodně vybraných serverů – v seznamu je více než 70 adres), převede své pluginy na zprávy z diskusních skupin a pošle je tam. Zprávy červa mají náhodný předmět, například: encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH text RFRE rebibmTCDOzGbCjSZ kde první čtyři práce jsou plugin "name" a následující čtyři práce jsou kódovaný plugin "verze". Stejně jako odesílání červa čte takové zprávy z alt.comp.virus, získá plugin "name" a "version" a porovnává je s pluginy, které v současné době používá červ. V případě, že diskusní skupina má zprávu s vyšší verzí pluginu, červec ji vytáhne a nahradí ji. Takže červ používá alt.comp.virus, aby upgradoval své pluginy. Červ také vytváří tyto pluginy jako diskové soubory v adresáři systému Windows. Mají také náhodné jméno, ale červa stále má přístup k nim. Názvy mohou vypadat následovně: BIBGAHNH.IBG DACMAPKO.ACM GAFIBPFM.AFI IMALADOL.MAL MALADOLI.ALA Existuje několik různých známých pluginů, které: 1. Infikujte všechny ZIP a RAR archivy na všech dostupných discích od C: do Z :. Během infekce červa přejmenuje soubory EXE do archivu s příponou .EX $ a přidá do archivu kopii s příponou .EXE (doprovodná metoda infekce). 2. Pošlete zprávy s kódovanými pluginy do skupiny "alt.comp.virus" a získejte od nich nové pluginy. 3. Rozšiřte virus na vzdálené počítače, které mají nainštalovaný SubSeven backdoor Trojan. Zásuvný modul detekuje takové stroje na síti a pomocí příkazů SubSeven nahrává červenou kopii do počítače a spouští ji tam. 4. Před zašlením kopie připojené k e-mailu šifrujte kopie šneku pomocí polymorfní šifrovací smyčky. 5. V závislosti na datu a čase systému (16. a 24. září a 59 minut každé hodiny od roku 2001 – ve známých pluginů) se spirálový efekt spustí. Zásuvný modul vytvoří náhodné 8bajtové jméno .EXE v adresáři systému Windows, rozbalí zde EXE kód "spirální efekt" a registruje tento soubor v systému: pod Win9x: v souboru Win.ini v [windows] "run =" řádek pod WinNT: v registru systému v "Run =" klíč 6. Ovlivňuje soubory DOS EXE a Windows PE EXE. Červ se jich dotýká, takže se stanou červenými kapátky. Při spuštění spustit soubor EXE do adresáře TEMP a spustit jej. Při ovlivňování souboru DOS EXE doplněk přidává do konce souboru kód kapky a červa červa. Tyto soubory jsou dezinfikovatelné. Zatímco se jedná o soubor Windows PE EXE, plugin přepíše část kódu kódu, aby získala mezeru pro kód červů a zapíše kód štěpky do této mezery (pokud má dostatečnou velikost). Zásuvný modul se nedotýká záhlaví souboru (včetně adresy vstupního bodu) a nezvyšuje velikost souboru. Kromě toho má anti-CRC (chechsum) rutina, která vyplňuje speciální data v kódu pluginu, takže soubor CRC se stává stejným pro několik běžně používaných CRC algoritmů. To znamená, že některé kontroly integrity nezjistí změny v postižených souborech: délka souboru a CRC těla souboru zůstávají stejné jako u čistého souboru. Když je spuštěn takový soubor PEE EXE, kvapkový kód klesne a aktivuje červ, pak obnoví (rozbalí) kódovou sekci a vrátí kontrolu do hostitelského souboru. 7. Náhodně vyberte předmět, Text zprávy a Připojit jméno při odesílání červových kopií e-mailovými zprávami: Z: Hahaha [hahaha@sexyfun.net] Předměty: Snowhite a sedm trpaslíků – REAL příběh! Branca de Neve porno! Enanito si, pero con que pedazo! Les 7 coquir nains Texty zpráv: C'etait un jour avant son dix huitieme anniversaire. Les 7 nevinných, kteří mají příležitost pomoci "blanche neige", touží po tom, co se jim podařilo vykouzlit, aby se jim podařilo překvapit. A 5 heures comou toujours, ils sont rentr�s du travail. K dispozici je také klimatizace. Dnes se Snowhite otočila 18. 7 trpaslíků vždy, když byli velmi vzdělaní a zdvořilí s Snowhitem. Když vyšli na ranní práci, slibovali * velké * překvapení. Snowhite byl úzkostlivý. Dveře otevřené a sedm trpaslíků vstoupí … Faltaba se narodila v neděli 18. prosince. Blanca de Nieve, která se konala v prosinci, se zúčastnila vítězů. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos … Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anes prometeram uma * grande * surresa. Jako cinco horas, os anezinhos voltaram do trabalho. Maso na to, co se stalo … Os sete angezinhos tinham um estranho brilho no olhar … Připojit jména: enano.exe enano porno.exe blanca de nieve.scr enanito fisgon.exe sexy virgin.scr joke.exe midgets.scr dwarf4you.exe blancheneige.exe sexynain.scr blanche.scr nains.exe branca de neve.scr atchim.exe dunga.scr an�o porn�.scr Stejně jako (v závislosti na verzi pluginu): Předmět zprávy je náhodná kombinace: Anna + sex Raquel Darian sexy Xena horké Xuxa nejžhavější Suzete cum slavný cumshot celebrita znásilnění nadržený kůže ... atd Jméno přílohy: Anna.exe Raquel Darian.exe Xena.exe Xuxa.exe Suzete.exe famous.exe celebrita rape.exe skin.exe sex.exe sexy.exe hot.exe hottest.exe cum.exe cumshot.exe horny.exe anal.exe gay.exe oral.exe pleasure.exe asian.exe lesbians.exe teens.exe virgins.exe boys.exe girls.exe SM.exe sado.exe cheerleader.exe orgy.exe black.exe blonde.exe sodomized.exe hardcore.exe slut.exe doggy.exe suck.exe messy.exe kinky.exe fist-fucking.exe amateurs.exe Přiložený název souboru může být také náhodný osm bajtů .EXE název, například: ADELHHAD.EXE CFIMMHAG.EXE DIEOPIDI.EXE EABLLNEA.EXE FKPODKFK.EXE HJEOINHJ.EXE OGNNFEOG.EXE PFFCKEPF.EXE
	Odkaz na originál

Email-Worm.Win32.Hybris

Technické údaje

Nakažený WSOCK32.DLL

Pluginy