Email-Worm.Win32.Silver

Technické údaje

Jedná se o nebezpečný červ šířící se přes Internet a IRC kanály, stejně jako infikování místní sítě. Červ samotný je aplikace systému Windows napsaná v Delphi o velikosti 90 kB (červ může být také komprimován nástrojem pro kompresi PE EXE, takže výsledná velikost souboru může být menší než původní).

Odesílání e-mailů

Chcete-li odeslat infikované e-maily z postižených počítačů, červa se pokusí použít dvě různé metody. Za prvé, hledá Eudora mailer instalovaný v systému. Pokud existuje jeden, červa kontroluje databázi odchozích e-mailů Eudora (soubor OUT.MBX), odtud dostává e-mailové adresy a na tyto adresy odešle infikované e-maily s připojenou kopií červů. Zprávy červa obsahují:

Předmět: týden minulého týdne …
Text: Přečtěte si prosím přiloženou částku a získejte to nejdříve.
Poklepáním na ikonu ji otevřete.
Připojit: c: silver.exe

Potom se červ pokusí nainstalovat e-mailový systém nezávisle na značce. Červ používá funkce MAPI: připojuje se k nainstalovanému e-mailovému systému, získává zprávy odtud, čte e-mailové adresy a používá je k odesílání svých kopií. V tomto případě mají zprávy:

Předmět : Re: teď to je hezký obrázek 🙂
Text: Myslel jsem, že byste ji mohl zajímat
Připojit: naked.jpg.exe

Chrání klienty mIRC a PIRCH

Chcete-li ovlivnit klienty IRC, hledá červa adresáře C: MIRC, C: MIRC32, C: PIRCH98 a přepíše IRC skripty tam s programem, který odešle kopii červů každému uživateli, který vstupuje do postiženého kanálu.

Skript mIRC má také další funkce. Když uživatel odesílá na kanál IRC zprávu obsahující text "silverrat", červ odpovídá tomuto uživateli zprávou "Mám virus Silver Rat" (tak, že se červi hlásí na infikované počítače). Pokud je v kanálu nalezen text "pyrealrat", skript otevře C: jednotku na postiženém počítači jako souborový server (který dává hlavnímu serveru Worm přístup ke všem datům na jednotce C:).

Šíření přes místní síť

Chcete-li infikovat vzdálené počítače v síti, červa kontroluje všechny jednotky z C: do Z: a ​​hledá adresář WINDOWS tam. Pokud existuje, červ se tam zkopíruje a registruje v sekci automatického spuštění systému Windows v souboru Win.ini nebo v registru systému v závislosti na verzi systému Windows (Win9x nebo WinNT). Takže červ je schopen infikovat vzdálené počítače v případě, že jsou jejich jednotky sdíleny pro čtení a zápis.

Instalace do systému

Chcete-li se instalovat do systému, červ se zkopíruje do adresářů s názvy:

do okna dir: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
do C: řídit kořenový adresář: SILVER.EXE

Červ se pak registruje v polích automatického spuštění v systémovém registru:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Všechna tato pole obsahují instrukci:

"Silver Rat" = WinDirsilver.exe

kde "WinDir" je název adresáře Windows.

Výsledkem je, že červená kopie je spuštěna čtyřikrát při každém spuštění systému Windows. Chcete-li spustit sám vícekrát (a poslat další infikované e-maily jako výsledek) Červ také ovlivňuje další klíče registru.

Ovlivňuje klíče registru

Aplikace systému Windows jsou propojeny s rozšířeními o soubory podle zvláštních záznamů v registru systému. Tyto záznamy ukazují na aplikaci, která je spuštěna pro zpracování souborů se specifikovanou příponou. Když je soubor otevřen, systém Windows získává jeho rozšíření a odkazuje na systémový registr, aby získal název aplikace, která zpracovává soubory tohoto typu.

Červ používá tuto funkci systému Windows a upravuje více než 100 klíčů registru – nahrazuje původní odkaz na aplikace s odkazem na vlastní kopii (SILVER.VXD). Červ dělá to pro tři různé klávesy na jednu aplikaci:

shellopencommand
shelleditcommand
Shellplaycommand

Klíče registrovaného registru vypadají takto:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

kde číslice v řádku jsou ID pro spuštění hostitelského souboru (viz níže).

Seznam dotčených aplikací (klíče registru, které propojují příponu názvu souboru s aplikací) je poměrně velký a vypadá takto:

 accesshtmlfile iqyfile regedit fonfile
 accesssthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 aspfile mic VBSFile MMST
 AudioCD MIDFile wab_auto_file MMSU
 aufile peníze Winamp.File NSM
 AVIFile MOVFile WinRAR MSBD
 Aktovka MPEGFILE WinRAR.ZIP motifile
 cdafile MPlayer WinZip Msi.Package
 Chat mscfile writefile Msi.Patch
 CSSfile msee WSFFile ofc.Document
 curfile msgfile x-internet-registrace souboru.Document
 Drive MSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 ftp novinky xslfile rtsp
 giffile nntp m3ufile scpfile
 helpfile Poznámky.Link ASFFile scriptletfile
 hlpfile ossfile ASXFile SSM
 htfile výhled BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlfile Správce profilu připojení Whiteboard
 icquser ramfile eybfile WIFImage.Document
 inifile RealMedia Soubor fndfile WSHFile

Červ uchovává původní klíče v jiném klíči registru:

HKLMSoftwareSilver Rat

Toto tlačítko obsahuje seznam všech klíčů, které byly nahrazeny, jak bylo uvedeno výše. Tento seznam používá červ pro spuštění původní aplikace: červ získává název aplikace a příkazový řádek z tohoto "záložního" seznamu a spouští ho.

Taková metoda ovlivňující systémový registr je velmi nebezpečná. V případě, že je červová kopie odstraněna ze systému, systém Windows nemůže přenést soubory do výše uvedených aplikací. V důsledku toho zůstává systém Windows většinou nefunkční. V případě otevření souboru z ohroženého seznamu se hlásí chybová zpráva, že přidružené zařízení SILVER.VXD nelze nalézt.

Červ věnuje zvláštní pozornost zálohám souborů systému a zbavuje je, aby zabránil obnovení souborů registru ze zálohy. Chcete-li, že červ poškozuje (přepíše nejprve 5K každého souboru s košovými daty) a odstraní soubory:

USER.DA0 a SYSTEM.DA0 v adresáři Windows
SYSTEM.1ST v kořenovém adresáři jednotky C: drive

"Odinstalovat" užitečné zatížení

Červ má rutinu užitečného zatížení, která je spuštěna v případě "odinstalace".

Červ vytváří v registru systému klíč "odinstalovat":

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus Silver Rat"
UninstallString = "c: silver.exe / odinstalovat"

Výsledkem je, že zápis červů je v okně ControlPanel / AddRemovePrograms vidět jako "Silver Rat Virus". V případě, že stisknete tlačítko "Odebrat", červ zobrazí zprávu:

Krev
"Musím vrátit několik videí" – American Psycho

a vyplní odpadky hlavičku v okně RecycleBin (viz obrázek).

Další funkce

Červ hledá aktivní antivirové aplikace a ukončí je podle jejich jména:

AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
Plánovač McAfee VirusScan
ZoneAlarm
Třída WRQ NAMApp

Vyhledává také antivirové soubory (databáze) a odstraňuje je:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Červ se také snaží ovlivnit soubory VBS, ale selhání kvůli chybě.