Email-Worm.Win32.Silver

Hlavní třída: VirWare

Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.

Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.

Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).

Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.

Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.

Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.

Viry lze rozdělit podle metody používané k infikování počítače:

souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.

Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.

Třída: Email-Worm

Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).

V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.

Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:

pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:

adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Jedná se o nebezpečný červ šířící se přes Internet a IRC kanály, stejně jako infikování místní sítě. Červ samotný je aplikace systému Windows napsaná v Delphi o velikosti 90 kB (červ může být také komprimován nástrojem pro kompresi PE EXE, takže výsledná velikost souboru může být menší než původní).

Odesílání e-mailů

Chcete-li odeslat infikované e-maily z postižených počítačů, červa se pokusí použít dvě různé metody. Za prvé, hledá Eudora mailer instalovaný v systému. Pokud existuje jeden, červa kontroluje databázi odchozích e-mailů Eudora (soubor OUT.MBX), odtud dostává e-mailové adresy a na tyto adresy odešle infikované e-maily s připojenou kopií červů. Zprávy červa obsahují:

Předmět: týden minulého týdne ...
Text: Přečtěte si prosím přiloženou částku a získejte to nejdříve.
Poklepáním na ikonu ji otevřete.
Připojit: c: silver.exe

Potom se červ pokusí nainstalovat e-mailový systém nezávisle na značce. Červ používá funkce MAPI: připojuje se k nainstalovanému e-mailovému systému, získává zprávy odtud, čte e-mailové adresy a používá je k odesílání svých kopií. V tomto případě mají zprávy:

Předmět : Re: teď to je hezký obrázek :-)
Text: Myslel jsem, že byste ji mohl zajímat
Připojit: naked.jpg.exe

Chrání klienty mIRC a PIRCH

Chcete-li ovlivnit klienty IRC, hledá červa adresáře C: MIRC, C: MIRC32, C: PIRCH98 a přepíše IRC skripty tam s programem, který odešle kopii červů každému uživateli, který vstupuje do postiženého kanálu.

Skript mIRC má také další funkce. Když uživatel odesílá na kanál IRC zprávu obsahující text "silverrat", červ odpovídá tomuto uživateli zprávou "Mám virus Silver Rat" (tak, že se červi hlásí na infikované počítače). Pokud je v kanálu nalezen text "pyrealrat", skript otevře C: jednotku na postiženém počítači jako souborový server (který dává hlavnímu serveru Worm přístup ke všem datům na jednotce C:).

Šíření přes místní síť

Chcete-li infikovat vzdálené počítače v síti, červa kontroluje všechny jednotky z C: do Z: a ​​hledá adresář WINDOWS tam. Pokud existuje, červ se tam zkopíruje a registruje v sekci automatického spuštění systému Windows v souboru Win.ini nebo v registru systému v závislosti na verzi systému Windows (Win9x nebo WinNT). Takže červ je schopen infikovat vzdálené počítače v případě, že jsou jejich jednotky sdíleny pro čtení a zápis.

Instalace do systému

Chcete-li se instalovat do systému, červ se zkopíruje do adresářů s názvy:

do okna dir: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
do C: řídit kořenový adresář: SILVER.EXE

Červ se pak registruje v polích automatického spuštění v systémovém registru:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Všechna tato pole obsahují instrukci:

"Silver Rat" = WinDirsilver.exe

kde "WinDir" je název adresáře Windows.

Výsledkem je, že červená kopie je spuštěna čtyřikrát při každém spuštění systému Windows. Chcete-li spustit sám vícekrát (a poslat další infikované e-maily jako výsledek) Červ také ovlivňuje další klíče registru.

Ovlivňuje klíče registru

Aplikace systému Windows jsou propojeny s rozšířeními o soubory podle zvláštních záznamů v registru systému. Tyto záznamy ukazují na aplikaci, která je spuštěna pro zpracování souborů se specifikovanou příponou. Když je soubor otevřen, systém Windows získává jeho rozšíření a odkazuje na systémový registr, aby získal název aplikace, která zpracovává soubory tohoto typu.

Červ používá tuto funkci systému Windows a upravuje více než 100 klíčů registru - nahrazuje původní odkaz na aplikace s odkazem na vlastní kopii (SILVER.VXD). Červ dělá to pro tři různé klávesy na jednu aplikaci:

shellopencommand
shelleditcommand
Shellplaycommand

Klíče registrovaného registru vypadají takto:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

kde číslice v řádku jsou ID pro spuštění hostitelského souboru (viz níže).

Seznam dotčených aplikací (klíče registru, které propojují příponu názvu souboru s aplikací) je poměrně velký a vypadá takto:

 accesshtmlfile iqyfile regedit fonfile accesssthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile peníze Winamp.File NSM AVIFile MOVFile WinRAR MSBD Aktovka MPEGFILE WinRAR.ZIP motifile cdafile MPlayer WinZip Msi.Package Chat mscfile writefile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-registrace souboru.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp novinky xslfile rtsp giffile nntp m3ufile scpfile helpfile Poznámky.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile výhled BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Správce profilu připojení Whiteboard icquser ramfile eybfile WIFImage.Document inifile RealMedia Soubor fndfile WSHFile

Červ uchovává původní klíče v jiném klíči registru:

HKLMSoftwareSilver Rat

Toto tlačítko obsahuje seznam všech klíčů, které byly nahrazeny, jak bylo uvedeno výše. Tento seznam používá červ pro spuštění původní aplikace: červ získává název aplikace a příkazový řádek z tohoto "záložního" seznamu a spouští ho.

Taková metoda ovlivňující systémový registr je velmi nebezpečná. V případě, že je červová kopie odstraněna ze systému, systém Windows nemůže přenést soubory do výše uvedených aplikací. V důsledku toho zůstává systém Windows většinou nefunkční. V případě otevření souboru z ohroženého seznamu se hlásí chybová zpráva, že přidružené zařízení SILVER.VXD nelze nalézt.

Červ věnuje zvláštní pozornost zálohám souborů systému a zbavuje je, aby zabránil obnovení souborů registru ze zálohy. Chcete-li, že červ poškozuje (přepíše nejprve 5K každého souboru s košovými daty) a odstraní soubory:

USER.DA0 a SYSTEM.DA0 v adresáři Windows
SYSTEM.1ST v kořenovém adresáři jednotky C: drive

"Odinstalovat" užitečné zatížení

Červ má rutinu užitečného zatížení, která je spuštěna v případě "odinstalace".

Červ vytváří v registru systému klíč "odinstalovat":

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus Silver Rat"
UninstallString = "c: silver.exe / odinstalovat"

Výsledkem je, že zápis červů je v okně ControlPanel / AddRemovePrograms vidět jako "Silver Rat Virus". V případě, že stisknete tlačítko "Odebrat", červ zobrazí zprávu:

Krev
"Musím vrátit několik videí" - American Psycho

a vyplní odpadky hlavičku v okně RecycleBin (viz obrázek).

Další funkce

Červ hledá aktivní antivirové aplikace a ukončí je podle jejich jména:

AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
Plánovač McAfee VirusScan
ZoneAlarm
Třída WRQ NAMApp

Vyhledává také antivirové soubory (databáze) a odstraňuje je:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Červ se také snaží ovlivnit soubory VBS, ale selhání kvůli chybě.

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!