Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o šíření viru červů v systémech Win32. Virus infikuje spustitelné soubory Win32, pokouší se odesílat e-mailové zprávy infikovaným připojeným souborem a také nainstaluje backdoor komponentu, která stahuje a rozštěpí "pluginy" na postiženého systému. Červ způsobil globální epidemii od září do října 2000.
Virus má neobvyklou strukturu. Skládá se ze tří různých komponent, které jsou spouštěny jako samostatné programy (Virus, e-mailový červ a Backdoor). Virus je hlavní součást a udržuje programy červů a backdoor ve svém kódu v komprimované podobě. Během infekce systému virus extrahuje a rozmnožuje je:
Struktura virů
� =============== - � Virus � -> nainstaluje do systému systém Worm a Backdoor, � instalace � pak najde a infikuje spustitelné soubory Win32 � a infekce � � rutiny � � --------------- � � Červí kód � -> se extrahuje do souboru a běží jako samostatný program � (komprimované) � � --------------- � � Backdoor kód � -> je extrahován do souboru a spouštěn jako samostatný program � (komprese) � L =============== -
Infikovaný soubor EXE
� =============== - � Kód souboru � � a data � � � � =============== � � Virus kód: � � --------------- � �� Instalace �� A infekce � + ------------- + � �� Červ �� � + ------------- + � �� Backdoor �� �L -------------- � L =============== -
Červový kód neobsahuje všechny potřebné rutiny k infikování systému a je odeslán jako připojený v infikované e-mailové zprávě (viz níže). Červ potřebuje "pomoc" z komponenty virů a je odeslán jako infikovaný virem (soubor červa je infikován virem jako obyčejný soubor a poté odeslán). Důvod pro takovou metodu je nejasný, ale pravděpodobně komponenty byly napsány různými lidmi.
Součást Virus obsahuje textové řetězce:
SABI�.b ViRuS
Software poskytl [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: VX chlap v #virus a Vecna nám pomohou
Navštivte nás na adrese:
http://www.coderz.net/matrix
Součást červ obsahuje textové řetězce:
Software poskytuje tým [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
VX chlapík na #virusovém kanálu a Vecna
Navštivte nás: www.coderz.net/matrix
Backdoor obsahuje text:
Software poskytl tým [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 zdrojové kódy a nápady
Součást virů
Virus používá technologii "Entry Point Obscuring" při infikování souboru. To znamená, že virus neovlivní soubor ve svém vstupním kódu, nýbrž umístí instrukci "Jump Virus" někde uprostřed oddílu kódu souboru, čímž je detekce a dezinfekce složitější. V důsledku toho je virus aktivován pouze v případě, že pobočka odpovídajícího postiženého programu dostane kontrolu.
Virus je také šifrován, takže nejprve se dešifruje, když jeho kód získá kontrolu. Virus poté vyhledá potřebné funkce Win32 API skenováním jádra Win32. Za tímto účelem se virus pokusí o adresy Win9x, WinNT a Win2000.
Virus pak vyhledává antivirové programy, které jsou aktivní v systému, a vystupuje v případě, že některý z nich je detekován. Seznam antivirových programů, na které se virus zaměřuje, se zobrazuje takto:
AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Centrální aplikace McAfee VirusScan
Poté virus nainstaluje své součásti do systému. Jsou dekomprimovány nainstalovány do adresáře systému Windows a poté rozděleny. Jsou vytvořeny tři soubory a mají skryté atributy a následující názvy:
IE_PACK.EXE - čistý kód Worm
WIN32.DLL - červový kód infikovaný virem (jako "infikovaný soubor" výše)
MTX_.EXE - kód backdoor
Virus pak infikuje soubory EX EXE spustitelných souborů Win32 v adresářích aktuálních, dočasných a Windows a poté ukončí.
Červ
Pro zasílání infikovaných zpráv využívá červa technologii, která byla poprvé nalezena v "Happy" internetovém červi (aka Happy99, aka SKA).
Červ zasahuje soubor WSOCK32.DLL v adresáři systému Windows připojením součásti svého kódu na konec souboru a zapojením rutiny "odeslat" WSOCK32.DLL. Výsledkem je, že červa monitoruje všechna data, která jsou odesílána z postiženého počítače na Internet.
Obvykle je soubor WSOCK32.DLL používán v okamžiku, kdy spustí červa a je uzamčen pro zápis. Chcete-li tomu zabránit, používá červ standardní metodu: vytvoří kopii původního WSOCK32.DLL s názvem WSOCK32.MTX, ovlivní tuto kopii a poté zapíše "nahradit původní soubor infikovaným" do souboru WININIT.INI:
NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX
kde "C: WINDOWSSYSTEM" je název adresáře systému Windows a může se lišit v závislosti na názvu nainstalovaného adresáře systému Windows.
Po dalším restartování nahradí infikovaný WSOCK32 původní a červ získá přístup k datům, které jsou odesílány z infikovaného počítače. Červ věnuje pozornost internetovým stránkám (webům, ftpům), které jsou navštěvovány, stejně jako e-mailovým zprávám odesílaným z počítače.
Velmi viditelné chování viru je způsobeno tím, že zabraňuje možnosti návštěvy několika internetových stránek, stejně jako zakazuje odesílání zpráv do stejných domén (jde o antivirové doménové jména). Virus je detekuje čtyřmi písmeny, které se objevují takto:
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
poplatek
yenn
lywa
tbav
yman
Červ také neumožňuje odesílání e-mailových zpráv do těchto domén:
wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
úspěšný*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *
Červ také zachycuje odeslané e-mailové zprávy a pokouší se odeslat duplicitní zprávu s infikovanou přílohou na stejnou adresu (stejně jako "Happy" červa to dělá). Výsledkem je, že adresa oběti by měla obdržet dvě zprávy: nejprve je původní zpráva napsaná odesílatelem; za druhé, přichází zpráva s prázdným předmětem a textem a připojeným souborem, který má jedno z jména, které červec zvolí v závislosti na aktuálním datu:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Jako připojený soubor používá červa soubor WIN32.DLL, který byl spuštěn komponentou viru.
Poznámka: Červ neklesne do souboru WIN32.DLL, ale tento soubor použije k připojení k odeslaným zprávám. Takže "čistý červ" se nedokáže šířit víc než jednou: když běží na oběti, červa infikuje WSOCK32.DLL, ale nebude moci odesílat další kopie. Chcete-li "tento problém vyřešit", odesílá červa infikovanou kopii (WIN32.DLL je součást červů infikovaná virem, viz výše).
Známá modifikace červů má chybu v rozšiřujícím se rutinním a e-mailovém serveru a v mnoha případech selhává příjem postižených zpráv z infikovaného počítače. Navzdory tomu, že systém má vytáčené připojení nebo poštovní server je dostatečně rychlý, červ zasílá své kopie bez problémů.
Zadní dveře
Spuštěn, součást Backdoor vytvoří nový klíč v systémovém registru, který označuje, že zařízení je již infikováno:
HKLMSoftware [MATRIX]
V případě, že tento klíč existuje, Backdoor přeskočí instalační postup. Jinak se sám zaregistruje v sekci automatického spuštění:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE
kde% WinDir% je adresář Windows.
Backdoor zůstává aktivní v systému Windows jako skrytá aplikace (služba) a spouští rutinu, která se připojuje k některému internetovému serveru, získává soubory odtud a spouští je v systému. Takže Backdoor může infikovat systém jinými viry nebo nainstalovat trojské programy nebo více funkční zadní vrátka.
Tato součást ve známé verzi viru také obsahuje chybu, která způsobuje standardní zprávu systému Windows o chybě v aplikaci, když se zadní vrátka pokusí o přístup na internetovou stránku.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com