Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o šíření viru červů v systémech Win32. Virus infikuje spustitelné soubory Win32, pokouší se odesílat e-mailové zprávy infikovaným připojeným souborem a také nainstaluje backdoor komponentu, která stahuje a rozštěpí "pluginy" na postiženého systému. Červ způsobil globální epidemii od září do října 2000.

Virus má neobvyklou strukturu. Skládá se ze tří různých komponent, které jsou spouštěny jako samostatné programy (Virus, e-mailový červ a Backdoor). Virus je hlavní součást a udržuje programy červů a backdoor ve svém kódu v komprimované podobě. Během infekce systému virus extrahuje a rozmnožuje je:

Struktura virů

 � =============== -  � Virus � -> nainstaluje do systému systém Worm a Backdoor,  � instalace � pak najde a infikuje spustitelné soubory Win32  � a infekce �   � rutiny �   � --------------- �   � Červí kód � -> se extrahuje do souboru a běží jako samostatný program  � (komprimované) �   � --------------- �   � Backdoor kód � -> je extrahován do souboru a spouštěn jako samostatný program  � (komprese) �  L =============== -

Infikovaný soubor EXE

  � =============== -  � Kód souboru �   � a data �   � �   � =============== �   � Virus kód: �   � --------------- �   �� Instalace ��  A infekce  � + ------------- + �   �� Červ ��   � + ------------- + �   �� Backdoor ��   �L -------------- �  L =============== -

Červový kód neobsahuje všechny potřebné rutiny k infikování systému a je odeslán jako připojený v infikované e-mailové zprávě (viz níže). Červ potřebuje "pomoc" z komponenty virů a je odeslán jako infikovaný virem (soubor červa je infikován virem jako obyčejný soubor a poté odeslán). Důvod pro takovou metodu je nejasný, ale pravděpodobně komponenty byly napsány různými lidmi.

Součást Virus obsahuje textové řetězce:

SABI�.b ViRuS
Software poskytl [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: VX chlap v #virus a Vecna nám pomohou
Navštivte nás na adrese:
http://www.coderz.net/matrix

Součást červ obsahuje textové řetězce:

Software poskytuje tým [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
VX chlapík na #virusovém kanálu a Vecna
Navštivte nás: www.coderz.net/matrix

Backdoor obsahuje text:

Software poskytl tým [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 zdrojové kódy a nápady

Součást virů

Virus používá technologii "Entry Point Obscuring" při infikování souboru. To znamená, že virus neovlivní soubor ve svém vstupním kódu, nýbrž umístí instrukci "Jump Virus" někde uprostřed oddílu kódu souboru, čímž je detekce a dezinfekce složitější. V důsledku toho je virus aktivován pouze v případě, že pobočka odpovídajícího postiženého programu dostane kontrolu.

Virus je také šifrován, takže nejprve se dešifruje, když jeho kód získá kontrolu. Virus poté vyhledá potřebné funkce Win32 API skenováním jádra Win32. Za tímto účelem se virus pokusí o adresy Win9x, WinNT a Win2000.

Virus pak vyhledává antivirové programy, které jsou aktivní v systému, a vystupuje v případě, že některý z nich je detekován. Seznam antivirových programů, na které se virus zaměřuje, se zobrazuje takto:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Centrální aplikace McAfee VirusScan

Poté virus nainstaluje své součásti do systému. Jsou dekomprimovány nainstalovány do adresáře systému Windows a poté rozděleny. Jsou vytvořeny tři soubory a mají skryté atributy a následující názvy:

IE_PACK.EXE – čistý kód Worm
WIN32.DLL – červový kód infikovaný virem (jako "infikovaný soubor" výše)
MTX_.EXE – kód backdoor

Virus pak infikuje soubory EX EXE spustitelných souborů Win32 v adresářích aktuálních, dočasných a Windows a poté ukončí.

Červ

Pro zasílání infikovaných zpráv využívá červa technologii, která byla poprvé nalezena v "Happy" internetovém červi (aka Happy99, aka SKA).

Červ zasahuje soubor WSOCK32.DLL v adresáři systému Windows připojením součásti svého kódu na konec souboru a zapojením rutiny "odeslat" WSOCK32.DLL. Výsledkem je, že červa monitoruje všechna data, která jsou odesílána z postiženého počítače na Internet.

Obvykle je soubor WSOCK32.DLL používán v okamžiku, kdy spustí červa a je uzamčen pro zápis. Chcete-li tomu zabránit, používá červ standardní metodu: vytvoří kopii původního WSOCK32.DLL s názvem WSOCK32.MTX, ovlivní tuto kopii a poté zapíše "nahradit původní soubor infikovaným" do souboru WININIT.INI:

NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

kde "C: WINDOWSSYSTEM" je název adresáře systému Windows a může se lišit v závislosti na názvu nainstalovaného adresáře systému Windows.

Po dalším restartování nahradí infikovaný WSOCK32 původní a červ získá přístup k datům, které jsou odesílány z infikovaného počítače. Červ věnuje pozornost internetovým stránkám (webům, ftpům), které jsou navštěvovány, stejně jako e-mailovým zprávám odesílaným z počítače.

Velmi viditelné chování viru je způsobeno tím, že zabraňuje možnosti návštěvy několika internetových stránek, stejně jako zakazuje odesílání zpráv do stejných domén (jde o antivirové doménové jména). Virus je detekuje čtyřmi písmeny, které se objevují takto:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
poplatek
yenn
lywa
tbav
yman

Červ také neumožňuje odesílání e-mailových zpráv do těchto domén:

wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
úspěšný*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

Červ také zachycuje odeslané e-mailové zprávy a pokouší se odeslat duplicitní zprávu s infikovanou přílohou na stejnou adresu (stejně jako "Happy" červa to dělá). Výsledkem je, že adresa oběti by měla obdržet dvě zprávy: nejprve je původní zpráva napsaná odesílatelem; za druhé, přichází zpráva s prázdným předmětem a textem a připojeným souborem, který má jedno z jména, které červec zvolí v závislosti na aktuálním datu:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Jako připojený soubor používá červa soubor WIN32.DLL, který byl spuštěn komponentou viru.

Poznámka: Červ neklesne do souboru WIN32.DLL, ale tento soubor použije k připojení k odeslaným zprávám. Takže "čistý červ" se nedokáže šířit víc než jednou: když běží na oběti, červa infikuje WSOCK32.DLL, ale nebude moci odesílat další kopie. Chcete-li "tento problém vyřešit", odesílá červa infikovanou kopii (WIN32.DLL je součást červů infikovaná virem, viz výše).

Známá modifikace červů má chybu v rozšiřujícím se rutinním a e-mailovém serveru a v mnoha případech selhává příjem postižených zpráv z infikovaného počítače. Navzdory tomu, že systém má vytáčené připojení nebo poštovní server je dostatečně rychlý, červ zasílá své kopie bez problémů.

Zadní dveře

Spuštěn, součást Backdoor vytvoří nový klíč v systémovém registru, který označuje, že zařízení je již infikováno:

HKLMSoftware [MATRIX]

V případě, že tento klíč existuje, Backdoor přeskočí instalační postup. Jinak se sám zaregistruje v sekci automatického spuštění:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE

kde% WinDir% je adresář Windows.

Backdoor zůstává aktivní v systému Windows jako skrytá aplikace (služba) a spouští rutinu, která se připojuje k některému internetovému serveru, získává soubory odtud a spouští je v systému. Takže Backdoor může infikovat systém jinými viry nebo nainstalovat trojské programy nebo více funkční zadní vrátka.

Tato součást ve známé verzi viru také obsahuje chybu, která způsobuje standardní zprávu systému Windows o chybě v aplikaci, když se zadní vrátka pokusí o přístup na internetovou stránku.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o šíření viru červů v systémech Win32. Virus infikuje spustitelné soubory Win32, pokouší se odesílat e-mailové zprávy infikovaným připojeným souborem a také nainstaluje backdoor komponentu, která stahuje a rozštěpí "pluginy" na postiženého systému. Červ způsobil globální epidemii od září do října 2000. Virus má neobvyklou strukturu. Skládá se ze tří různých komponent, které jsou spouštěny jako samostatné programy (Virus, e-mailový červ a Backdoor). Virus je hlavní součást a udržuje programy červů a backdoor ve svém kódu v komprimované podobě. Během infekce systému virus extrahuje a rozmnožuje je: Struktura virů � =============== - � Virus � -> nainstaluje do systému systém Worm a Backdoor, � instalace � pak najde a infikuje spustitelné soubory Win32 � a infekce � � rutiny � � --------------- � � Červí kód � -> se extrahuje do souboru a běží jako samostatný program � (komprimované) � � --------------- � � Backdoor kód � -> je extrahován do souboru a spouštěn jako samostatný program � (komprese) � L =============== - Infikovaný soubor EXE � =============== - � Kód souboru � � a data � � � � =============== � � Virus kód: � � --------------- � �� Instalace �� A infekce � + ------------- + � �� Červ �� + ------------- + � �� Backdoor �� L -------------- � L =============== - Červový kód neobsahuje všechny potřebné rutiny k infikování systému a je odeslán jako připojený v infikované e-mailové zprávě (viz níže). Červ potřebuje "pomoc" z komponenty virů a je odeslán jako infikovaný virem (soubor červa je infikován virem jako obyčejný soubor a poté odeslán). Důvod pro takovou metodu je nejasný, ale pravděpodobně komponenty byly napsány různými lidmi. Součást Virus obsahuje textové řetězce: SABI�.b ViRuS Software poskytl [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: VX chlap v #virus a Vecna nám pomohou Navštivte nás na adrese: http://www.coderz.net/matrix Součást červ obsahuje textové řetězce: Software poskytuje tým [MATRiX] VX: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: VX chlapík na #virusovém kanálu a Vecna Navštivte nás: www.coderz.net/matrix Backdoor obsahuje text: Software poskytl tým [MATRiX]: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 zdrojové kódy a nápady Součást virů Virus používá technologii "Entry Point Obscuring" při infikování souboru. To znamená, že virus neovlivní soubor ve svém vstupním kódu, nýbrž umístí instrukci "Jump Virus" někde uprostřed oddílu kódu souboru, čímž je detekce a dezinfekce složitější. V důsledku toho je virus aktivován pouze v případě, že pobočka odpovídajícího postiženého programu dostane kontrolu. Virus je také šifrován, takže nejprve se dešifruje, když jeho kód získá kontrolu. Virus poté vyhledá potřebné funkce Win32 API skenováním jádra Win32. Za tímto účelem se virus pokusí o adresy Win9x, WinNT a Win2000. Virus pak vyhledává antivirové programy, které jsou aktivní v systému, a vystupuje v případě, že některý z nich je detekován. Seznam antivirových programů, na které se virus zaměřuje, se zobrazuje takto: AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Centrální aplikace McAfee VirusScan Poté virus nainstaluje své součásti do systému. Jsou dekomprimovány nainstalovány do adresáře systému Windows a poté rozděleny. Jsou vytvořeny tři soubory a mají skryté atributy a následující názvy: IE_PACK.EXE – čistý kód Worm WIN32.DLL – červový kód infikovaný virem (jako "infikovaný soubor" výše) MTX_.EXE – kód backdoor Virus pak infikuje soubory EX EXE spustitelných souborů Win32 v adresářích aktuálních, dočasných a Windows a poté ukončí. Červ Pro zasílání infikovaných zpráv využívá červa technologii, která byla poprvé nalezena v "Happy" internetovém červi (aka Happy99, aka SKA). Červ zasahuje soubor WSOCK32.DLL v adresáři systému Windows připojením součásti svého kódu na konec souboru a zapojením rutiny "odeslat" WSOCK32.DLL. Výsledkem je, že červa monitoruje všechna data, která jsou odesílána z postiženého počítače na Internet. Obvykle je soubor WSOCK32.DLL používán v okamžiku, kdy spustí červa a je uzamčen pro zápis. Chcete-li tomu zabránit, používá červ standardní metodu: vytvoří kopii původního WSOCK32.DLL s názvem WSOCK32.MTX, ovlivní tuto kopii a poté zapíše "nahradit původní soubor infikovaným" do souboru WININIT.INI: NUL = C: WINDOWSSYSTEMWSOCK32.DLL C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX kde "C: WINDOWSSYSTEM" je název adresáře systému Windows a může se lišit v závislosti na názvu nainstalovaného adresáře systému Windows. Po dalším restartování nahradí infikovaný WSOCK32 původní a červ získá přístup k datům, které jsou odesílány z infikovaného počítače. Červ věnuje pozornost internetovým stránkám (webům, ftpům), které jsou navštěvovány, stejně jako e-mailovým zprávám odesílaným z počítače. Velmi viditelné chování viru je způsobeno tím, že zabraňuje možnosti návštěvy několika internetových stránek, stejně jako zakazuje odesílání zpráv do stejných domén (jde o antivirové doménové jména). Virus je detekuje čtyřmi písmeny, které se objevují takto: nii. nai. avp. f-se mapl pand soph ndmi poplatek yenn lywa tbav yman Červ také neumožňuje odesílání e-mailových zpráv do těchto domén: wildlist.o * il.esafe.c * perfectsup * complex.is * HiServ.com * hiserv.com * metro.ch * beyond.com * mcafee.com * pandasoftw * earthlink. * inexar.com * comkom.co. * meditrade. * mabex.com * cellco.com * symantec.c * úspěšný* inforamp.n * newell.com * singnet.co * bmcd.com.a * bca.com.nz * trendmicro * sophos.com * maple.com. * netsales.n * f-secure.c * Červ také zachycuje odeslané e-mailové zprávy a pokouší se odeslat duplicitní zprávu s infikovanou přílohou na stejnou adresu (stejně jako "Happy" červa to dělá). Výsledkem je, že adresa oběti by měla obdržet dvě zprávy: nejprve je původní zpráva napsaná odesílatelem; za druhé, přichází zpráva s prázdným předmětem a textem a připojeným souborem, který má jedno z jména, které červec zvolí v závislosti na aktuálním datu: README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_ $ 100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH! .TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT! .TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif Jako připojený soubor používá červa soubor WIN32.DLL, který byl spuštěn komponentou viru. Poznámka: Červ neklesne do souboru WIN32.DLL, ale tento soubor použije k připojení k odeslaným zprávám. Takže "čistý červ" se nedokáže šířit víc než jednou: když běží na oběti, červa infikuje WSOCK32.DLL, ale nebude moci odesílat další kopie. Chcete-li "tento problém vyřešit", odesílá červa infikovanou kopii (WIN32.DLL je součást červů infikovaná virem, viz výše). Známá modifikace červů má chybu v rozšiřujícím se rutinním a e-mailovém serveru a v mnoha případech selhává příjem postižených zpráv z infikovaného počítače. Navzdory tomu, že systém má vytáčené připojení nebo poštovní server je dostatečně rychlý, červ zasílá své kopie bez problémů. Zadní dveře Spuštěn, součást Backdoor vytvoří nový klíč v systémovém registru, který označuje, že zařízení je již infikováno: HKLMSoftware [MATRIX] V případě, že tento klíč existuje, Backdoor přeskočí instalační postup. Jinak se sám zaregistruje v sekci automatického spuštění: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup =% WinDir% MTX_.EXE kde% WinDir% je adresář Windows. Backdoor zůstává aktivní v systému Windows jako skrytá aplikace (služba) a spouští rutinu, která se připojuje k některému internetovému serveru, získává soubory odtud a spouští je v systému. Takže Backdoor může infikovat systém jinými viry nebo nainstalovat trojské programy nebo více funkční zadní vrátka. Tato součást ve známé verzi viru také obsahuje chybu, která způsobuje standardní zprávu systému Windows o chybě v aplikaci, když se zadní vrátka pokusí o přístup na internetovou stránku.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.MTX