Technické údaje
Jedná se o nebezpečný červ šířící se přes Internet a IRC kanály, stejně jako infikování místní sítě. Červ samotný je aplikace systému Windows napsaná v Delphi o velikosti 90 kB (červ může být také komprimován nástrojem pro kompresi PE EXE, takže výsledná velikost souboru může být menší než původní).
Odesílání e-mailů
Chcete-li odeslat infikované e-maily z postižených počítačů, červa se pokusí použít dvě různé metody. Za prvé, hledá Eudora mailer instalovaný v systému. Pokud existuje jeden, červa kontroluje databázi odchozích e-mailů Eudora (soubor OUT.MBX), odtud dostává e-mailové adresy a na tyto adresy odešle infikované e-maily s připojenou kopií červů. Zprávy červa obsahují:
Předmět: týden minulého týdne … Text: Přečtěte si prosím přiloženou částku a získejte to nejdříve. Poklepáním na ikonu ji otevřete. Připojit: c: silver.exe
Potom se červ pokusí nainstalovat e-mailový systém nezávisle na značce. Červ používá funkce MAPI: připojuje se k nainstalovanému e-mailovému systému, získává zprávy odtud, čte e-mailové adresy a používá je k odesílání svých kopií. V tomto případě mají zprávy:
Předmět : Re: teď to je hezký obrázek 🙂 Text: Myslel jsem, že byste ji mohl zajímat Připojit: naked.jpg.exe
Chrání klienty mIRC a PIRCH
Chcete-li ovlivnit klienty IRC, hledá červa adresáře C: MIRC, C: MIRC32, C: PIRCH98 a přepíše IRC skripty tam s programem, který odešle kopii červů každému uživateli, který vstupuje do postiženého kanálu.
Skript mIRC má také další funkce. Když uživatel odesílá na kanál IRC zprávu obsahující text "silverrat", červ odpovídá tomuto uživateli zprávou "Mám virus Silver Rat" (tak, že se červi hlásí na infikované počítače). Pokud je v kanálu nalezen text "pyrealrat", skript otevře C: jednotku na postiženém počítači jako souborový server (který dává hlavnímu serveru Worm přístup ke všem datům na jednotce C:).
Šíření přes místní síť
Chcete-li infikovat vzdálené počítače v síti, červa kontroluje všechny jednotky z C: do Z: a hledá adresář WINDOWS tam. Pokud existuje, červ se tam zkopíruje a registruje v sekci automatického spuštění systému Windows v souboru Win.ini nebo v registru systému v závislosti na verzi systému Windows (Win9x nebo WinNT). Takže červ je schopen infikovat vzdálené počítače v případě, že jsou jejich jednotky sdíleny pro čtení a zápis.
Instalace do systému
Chcete-li se instalovat do systému, červ se zkopíruje do adresářů s názvy:
do okna dir: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR do C: řídit kořenový adresář: SILVER.EXE
Červ se pak registruje v polích automatického spuštění v systémovém registru:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun
Všechna tato pole obsahují instrukci:
"Silver Rat" = WinDirsilver.exe
kde "WinDir" je název adresáře Windows.
Výsledkem je, že červená kopie je spuštěna čtyřikrát při každém spuštění systému Windows. Chcete-li spustit sám vícekrát (a poslat další infikované e-maily jako výsledek) Červ také ovlivňuje další klíče registru.
Ovlivňuje klíče registru
Aplikace systému Windows jsou propojeny s rozšířeními o soubory podle zvláštních záznamů v registru systému. Tyto záznamy ukazují na aplikaci, která je spuštěna pro zpracování souborů se specifikovanou příponou. Když je soubor otevřen, systém Windows získává jeho rozšíření a odkazuje na systémový registr, aby získal název aplikace, která zpracovává soubory tohoto typu.
Červ používá tuto funkci systému Windows a upravuje více než 100 klíčů registru – nahrazuje původní odkaz na aplikace s odkazem na vlastní kopii (SILVER.VXD). Červ dělá to pro tři různé klávesy na jednu aplikaci:
shellopencommand shelleditcommand Shellplaycommand
Klíče registrovaného registru vypadají takto:
HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%" HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%" HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"
kde číslice v řádku jsou ID pro spuštění hostitelského souboru (viz níže).
Seznam dotčených aplikací (klíče registru, které propojují příponu názvu souboru s aplikací) je poměrně velký a vypadá takto:
accesshtmlfile iqyfile regedit fonfile
accesssthmltemplate IVFfile regfile GatewayFile
AIFFFILE jpegfile SHCmdFile htafile
AllaireTemplate JSFile SoundRec icsfile
anifile ldap tgafile mhtmlfile
artfile mailto txtfile MMS
aspfile mic VBSFile MMST
AudioCD MIDFile wab_auto_file MMSU
aufile peníze Winamp.File NSM
AVIFile MOVFile WinRAR MSBD
Aktovka MPEGFILE WinRAR.ZIP motifile
cdafile MPlayer WinZip Msi.Package
Chat mscfile writefile Msi.Patch
CSSfile msee WSFFile ofc.Document
curfile msgfile x-internet-registrace souboru.Document
Drive MSProgramGroup xbmfile pjpegfile
DrWatsonLog Net2PhoneApp xmlfile PNM
Excel.Workspace NetscapeMarkup xnkfile qwb.Document
ftp novinky xslfile rtsp
giffile nntp m3ufile scpfile
helpfile Poznámky.Link ASFFile scriptletfile
hlpfile ossfile ASXFile SSM
htfile výhled BeHostFile ThemeFile
htmlfile PBrush ChannelFile TIFImage.Document
http pcxfile chm.file ttffile
https pngfile CMCD WangImage.Document
icofile powerpointhtmlfile Správce profilu připojení Whiteboard
icquser ramfile eybfile WIFImage.Document
inifile RealMedia Soubor fndfile WSHFile
Červ uchovává původní klíče v jiném klíči registru:
HKLMSoftwareSilver Rat
Toto tlačítko obsahuje seznam všech klíčů, které byly nahrazeny, jak bylo uvedeno výše. Tento seznam používá červ pro spuštění původní aplikace: červ získává název aplikace a příkazový řádek z tohoto "záložního" seznamu a spouští ho.
Taková metoda ovlivňující systémový registr je velmi nebezpečná. V případě, že je červová kopie odstraněna ze systému, systém Windows nemůže přenést soubory do výše uvedených aplikací. V důsledku toho zůstává systém Windows většinou nefunkční. V případě otevření souboru z ohroženého seznamu se hlásí chybová zpráva, že přidružené zařízení SILVER.VXD nelze nalézt.
Červ věnuje zvláštní pozornost zálohám souborů systému a zbavuje je, aby zabránil obnovení souborů registru ze zálohy. Chcete-li, že červ poškozuje (přepíše nejprve 5K každého souboru s košovými daty) a odstraní soubory:
USER.DA0 a SYSTEM.DA0 v adresáři Windows SYSTEM.1ST v kořenovém adresáři jednotky C: drive
"Odinstalovat" užitečné zatížení
Červ má rutinu užitečného zatížení, která je spuštěna v případě "odinstalace".
Červ vytváří v registru systému klíč "odinstalovat":
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat DisplayName = "Virus Silver Rat" UninstallString = "c: silver.exe / odinstalovat"
Výsledkem je, že zápis červů je v okně ControlPanel / AddRemovePrograms vidět jako "Silver Rat Virus". V případě, že stisknete tlačítko "Odebrat", červ zobrazí zprávu:
Krev "Musím vrátit několik videí" – American Psycho
a vyplní odpadky hlavičku v okně RecycleBin (viz obrázek).
Další funkce
Červ hledá aktivní antivirové aplikace a ukončí je podle jejich jména:
AVP Monitor Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT Plánovač McAfee VirusScan ZoneAlarm Třída WRQ NAMApp
Vyhledává také antivirové soubory (databáze) a odstraňuje je:
* .AVC (AVP) * .DAT (NAI) BAVAP.VXD, NAVKRNLN.VXD (NAV)
Červ se také snaží ovlivnit soubory VBS, ale selhání kvůli chybě.
|