Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím infikovaných e-mailů a infikuje soubory Windows EXE v počítačích. Červí rutiny mají chyby a v některých případech zastavují počítač a / nebo poškozené soubory a infikují je.

Kód červ má textové řetězce "autorských práv":

(c) Vecna
Vecna je teď punk rocker …

Infikované spuštění souboru

Červ může vstoupit do počítače prostřednictvím infikovaných e-mailů z lokální sítě nebo z jakéhokoli jiného infikovaného souboru, který je spuštěn.

Při spuštění červa vytahuje z infikovaného souboru svůj "hlavní" kód (tj. "Čistý" virusový kód – Win32 PE EXE soubor o velikosti 9,5 Kb), uloží jej do adresáře Windows TEMP s náhodně vybraným jménem (například , LNBAMKON.EXE, MMCAAHAN.EXE) a provede tento soubor.

Když dojde k získání kontroly nad hlavním kódem viru, přesune jeho soubor do adresáře systému Windows, který je uveden v klíči registru:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell složky
Společné spuštění =% spuštění%

Název adresáře% startup% závisí na verzi systému Windows, například:

Dokumenty a nastaveníVšechny uživateléStart MenuProgramsStartup
% WindowsDir% All UsersStart MenuProgramsStartup

Červ se přesune do adresáře% startup% s náhodným názvem, který má osm náhodně vybraných číslic a příponu .EXE, například:

00544102.EXE
17060133.EXE
37154273.EXE

Červ potom provede tuto kopii v adresáři "Startup" a odstraní první kopii v adresáři Windows TEMP, například:

C: VIRUS.EXE – infikovaný soubor spuštěn
C: WINDOWSTEMPMMCAAHAN.EXE – první kopie je vytvořena a spuštěna
C: Uživatelé WINDOWSAllStart MenuProgramsStartup 0544102.EXE – jedná se o 2. kopii, je zde vytvořen a spuštěn. První kopie se pak vymaže.

Kvůli chybě se v některých případech červ zpopalení uprostřed tohoto procesu a první kopie zůstane v adresáři TEMP.

Když je tento proces "přesouvání souborů" dokončen, červa nainstaluje "stealth" hák a spustí rutiny šíření infekcí a e-mailů.

Infekce

Rutina infekce, když získá kontrolu, vyhledá spustitelný soubor Windows .EXE a .SCR na všech lokálních a síťových jednotkách a infikuje je. Během infikování získává blok ze středu souboru, zkomprimuje jej a uloží do souboru soubor s komprimovanými daty a červy, takže délka souboru se nezvětší.

Červ používá také motor s polymorfním mutací, aby proces detekce a dezinfekce byl složitější.

Rozšiřování e-mailu

K šíření se červa připojí k poštovnímu serveru SMTP a odesílá infikované zprávy na e-mailové adresy. Jméno serveru SMTP a e-mailové adresy získává červ z datových souborů WAB (Windows Address Book).

Infikované zprávy mají formát HTML a mají pole:

Od: "Mondo bizarro" [mourning@obituary.org]
Předmět: Joey je mrtvý, člověk … 🙁
Text: Pozdrav Joey Ramone (1951-2001)
Připojit: ramones.mp3.exe

Červ využívá jednu z bezpečnostních chyb (identifikátor chyby zabezpečení: CAN-2001-0154), které byly nalezeny v systému Windows v roce 2001. Výsledkem tohoto porušení je možnost vytváření připojeného souboru EXE bez akce uživatele. Při otevření infikovaného e-mailu pro čtení nebo náhled se soubor EXE červu automaticky spustí.

Společnost Microsoft již vydala opravu, která tuto chybu eliminuje. Další informace naleznete zde: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Stealth

Červ háčí systémové volání FindFile a FindProcess systému Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Červ zpracovává tato volání tak, aby jejich kopie v adresáři "startup" (viz výše) nebyla hlášena. Výsledkem je, že soubor červa není viditelný v seznamech souborů a procesů.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím infikovaných e-mailů a infikuje soubory Windows EXE v počítačích. Červí rutiny mají chyby a v některých případech zastavují počítač a / nebo poškozené soubory a infikují je. Kód červ má textové řetězce "autorských práv": (c) Vecna Vecna je teď punk rocker … Infikované spuštění souboru Červ může vstoupit do počítače prostřednictvím infikovaných e-mailů z lokální sítě nebo z jakéhokoli jiného infikovaného souboru, který je spuštěn. Při spuštění červa vytahuje z infikovaného souboru svůj "hlavní" kód (tj. "Čistý" virusový kód – Win32 PE EXE soubor o velikosti 9,5 Kb), uloží jej do adresáře Windows TEMP s náhodně vybraným jménem (například , LNBAMKON.EXE, MMCAAHAN.EXE) a provede tento soubor. Když dojde k získání kontroly nad hlavním kódem viru, přesune jeho soubor do adresáře systému Windows, který je uveden v klíči registru: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell složky Společné spuštění =% spuštění% Název adresáře% startup% závisí na verzi systému Windows, například: Dokumenty a nastaveníVšechny uživateléStart MenuProgramsStartup % WindowsDir% All UsersStart MenuProgramsStartup Červ se přesune do adresáře% startup% s náhodným názvem, který má osm náhodně vybraných číslic a příponu .EXE, například: 00544102.EXE 17060133.EXE 37154273.EXE Červ potom provede tuto kopii v adresáři "Startup" a odstraní první kopii v adresáři Windows TEMP, například: C: VIRUS.EXE – infikovaný soubor spuštěn C: WINDOWSTEMPMMCAAHAN.EXE – první kopie je vytvořena a spuštěna C: Uživatelé WINDOWSAllStart MenuProgramsStartup 0544102.EXE – jedná se o 2. kopii, je zde vytvořen a spuštěn. První kopie se pak vymaže. Kvůli chybě se v některých případech červ zpopalení uprostřed tohoto procesu a první kopie zůstane v adresáři TEMP. Když je tento proces "přesouvání souborů" dokončen, červa nainstaluje "stealth" hák a spustí rutiny šíření infekcí a e-mailů. Infekce Rutina infekce, když získá kontrolu, vyhledá spustitelný soubor Windows .EXE a .SCR na všech lokálních a síťových jednotkách a infikuje je. Během infikování získává blok ze středu souboru, zkomprimuje jej a uloží do souboru soubor s komprimovanými daty a červy, takže délka souboru se nezvětší. Červ používá také motor s polymorfním mutací, aby proces detekce a dezinfekce byl složitější. Rozšiřování e-mailu K šíření se červa připojí k poštovnímu serveru SMTP a odesílá infikované zprávy na e-mailové adresy. Jméno serveru SMTP a e-mailové adresy získává červ z datových souborů WAB (Windows Address Book). Infikované zprávy mají formát HTML a mají pole: Od: "Mondo bizarro" [mourning@obituary.org] Předmět: Joey je mrtvý, člověk … 🙁 Text: Pozdrav Joey Ramone (1951-2001) Připojit: ramones.mp3.exe Červ využívá jednu z bezpečnostních chyb (identifikátor chyby zabezpečení: CAN-2001-0154), které byly nalezeny v systému Windows v roce 2001. Výsledkem tohoto porušení je možnost vytváření připojeného souboru EXE bez akce uživatele. Při otevření infikovaného e-mailu pro čtení nebo náhled se soubor EXE červu automaticky spustí. Společnost Microsoft již vydala opravu, která tuto chybu eliminuje. Další informace naleznete zde: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Stealth Červ háčí systémové volání FindFile a FindProcess systému Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Červ zpracovává tato volání tak, aby jejich kopie v adresáři "startup" (viz výše) nebyla hlášena. Výsledkem je, že soubor červa není viditelný v seznamech souborů a procesů.
	Odkaz na originál

Email-Worm.Win32.Puron

Technické údaje

Infikované spuštění souboru

Infekce

Rozšiřování e-mailu

Stealth