Email-Worm.Win32.Swen

Hlavní třída: VirWare

Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.

Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.

Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).

Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.

Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.

Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.

Viry lze rozdělit podle metody používané k infikování počítače:

souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.

Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.

Třída: Email-Worm

Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).

V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.

Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:

pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:

adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Swen je velmi nebezpečný virus červů, který se šíří po internetu prostřednictvím e-mailu (ve formě infikovaného souboru), sítě sdílení souborů Kazaa, kanálů IRC a otevřených síťových zdrojů.

Swen je napsán v aplikaci Microsoft Visual C ++ a má velikost 105 kB (106496 bajtů).

Červ se aktivuje, když oběť spustí infikovaný soubor (dvojitým kliknutím na přílohu souboru) nebo když e-mailová aplikace poškozeného zařízení je zranitelná zranitelností IFrame.FileDownload (kterou využívají i červi Klez a Tanatos ). Jakmile se Swen nainstaluje do systému a začne rutinní propogaci.

Můžete stáhnout opravu vydané v březnu 2001 pro chybu zabezpečení IFrame: Bulletin zabezpečení společnosti Microsoft MS01-20 .

Červ blokuje mnoho antivirových programů a firewallů. Jeho algoritmus a části kódového textu jsou téměř totožné s jiným internetovým červem nazývaným I-Worm.Gibe , ačkoli používaný programovací jazyk je jiný.

Instalace

Při prvním spuštění může červ zobrazovat zprávu "Microsoft Internet Update Pack". Pak napodobuje instalaci opravy:

Červ se pak zkopíruje pod některým z níže uvedených jmen do adresáře Windows. Název může sestávat z několika částí.

První možnost:

1. Kazaa Lite
   KaZaA mediální pracovní plocha
   KaZaA
   WinRar
   WinZip
   Winamp
   Mirc
   Stáhněte si Accelerator
   GetRight FTP
   Windows přehrávač médií
   

2. Generátor klíčů
   Zaseknout
   Hacked
   Warez
   nahrát
   Instalátor
   nahrát
   Instalátor

Druhá možnost:

1. Bugbear
   Yaha
   Posmívat se
   Sircam
   Tak velké
   Klez

2. Odstraňovač
   RemovalTool
   Čistič
   Fixtool

Třetí možnost:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 seriálů
Jenna Jamesonová
Hardporn
Sex
Emulátor Xbox
Emulátor Ps2
Aktualizace Xp
Xxx Video
Nemocný vtip
Obrázky Xxx
Moje nahá sestra
Halucinogenní spořič obrazovky
Vaření s konopím
Kouzelné houby rostou
Generátor virů

Nový soubor je registrován v klíči automatického spuštění registru systému Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  náhodná sekvence =% windir% název souboru autorun 

Vytvoří se identifikační klíč, který obsahuje konfigurační nastavení červů:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  náhodnou sekvencí 

Červ potom vytvoří soubor pojmenovaný po infikovaném hostitelském počítači s příponou BAT ve složce Windows. Soubor obsahuje následující příkazy:

@ OFF OFF
POKUD NENÍ "% 1" == "" .exe% 1

Potom červ změní hodnoty klíčů v HKLMSoftwareClasses tak, aby se spouštěl při každém spuštění typů souborů BAT, COM, EXE, PIF, REG a SCR.

 HKCRbatfileshellopencommand  Výchozí =% windir%  "% 1"% *HKCRcomfileshellopencommand  Výchozí =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Výchozí =% windir%  "% 1"% *HKCRpiffileshellopencommand  Výchozí =% windir%  "% 1"% *HKCRregfileshellopencommand  Výchozí =% windir%  sprchaHKCRscrfileshellconfigcommand  Výchozí =% windir%  "% 1"  HKCRscrfileshellopencommand  Výchozí =% windir%  "% 1" / S 

Zakáže uživatelské schopnosti upravit systémový registr:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

Při prvním spuštění červa přistupuje na následující vzdálený web:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Tento čítač označuje počet infikovaných počítačů.

Při pokusu o spuštění nové kopie červa na již infikovaném počítači se červ zobrazí následující zpráva:

Červ vyhledá všechny disky pro soubory s příponami DBX, MDX, EML, WAB a také, které obsahují buď HT nebo ASP v příponě. Swem pak extrahuje všechny e-mailové adresy, které může najít a uloží je do souboru s názvem germs0.dbv .

Červ se pokouší připojit k jednomu ze 350 serverů identifikovaných v souboru swen1.dat , aby zaslal infikované e-maily. Není-li možné připojení, červa zobrazí následující chybovou zprávu o výjimce MAPI 32:

a požaduje správnou e-mailovou adresu, stejně jako správný SMTP server.

Propagace prostřednictvím e-mailu

Červ zasílá všechny dostupné adresy pomocí přímého připojení k SMTP serveru. Infikované e-maily jsou ve formátu HTML a obsahují přílohu (skutečný červ).

Jméno odesílatele (sestává z několika částí):

1. Microsoft
   SLEČNA
   

2. (nesmí být používán)
   Korporace
   

3. (nesmí být používán)
   Program
   Internet
   Síť
   

4. (vždy součástí části 3)
   Bezpečnostní
   

5. (nesmí být používán)
   Divize
   Sekce
   oddělení
   Centrum
   

6. (nesmí být používán)
   Veřejnost
   Technický
   Zákazník
   

7. (nesmí být používán)
   Bulletin
   Služby
   Pomoc
   Podpěra, podpora

Například:

Sekce zabezpečení Internetu společnosti Microsoft
MS technická pomoc

Adresa odesílatele (sestává ze dvou částí):

• před "@": náhodná sekvence (příklad: tuevprkpevcg-gxwi @, dwffa @);
• po "@": se skládá ze dvou částí (i když může být použito pouze jedno):
  1. zprávy
     zpravodaj
     bulletin
     důvěra
     poradce
     aktualizace
     technet
     Podpěra, podpora
     

  2. msdn
     microsoft
     slečna
     msn

  Například: "newsletter.microsoft" nebo jednoduše "support". Pokud se používají dvě části, jsou odděleny písmeny "." Nebo "_".

  Po "." doména je buď "com" nebo "net".

Předmět (sestává z různých částí):

1. Nejnovější
   Nový
   Poslední
   Nejnovější
   Aktuální
   

2. Síť
   Síť
   Microsoft
   Internet
   

3. Bezpečnostní
   Kritický
   

4. Vylepšit
   Balíček
   Aktualizace
   Náplast

Tělo:

MS Client (spotřebitel, partner, uživatel - náhodně vybraný)
to je nejnovější verze aktualizace zabezpečení,
"Září 2003, kumulativní oprava" aktualizace, která řeší
všechny známé bezpečnostní chyby
MS Internet Explorer, MS Outlook a MS Outlook Express.
Nainstalujte nyní, abyste ochránili počítač
z těchto zranitelností, z nichž nejzávažnější by mohlo
umožnit útočníkovi spustit kód ve vašem systému.
Tato aktualizace obsahuje funkci =
ze všech dříve uvolněných záplat.

Systémové požadavky: Windows 95/98 / Me / 2000 / NT / XP
Tato aktualizace platí pro:
- MS Internet Explorer, verze 4.01 a novější
- MS Outlook, verze 8.00 a novější
- MS Outlook Express, verze 4.01 a novější

Doporučení: Zákazníci by měli nainstalovat patch =
při nejbližší příležitosti.
Jak nainstalovat: Spusťte připojený soubor. Zvolte možnost Ano v zobrazeném dialogovém okně.
Jak používat: Po instalaci této položky nemusíte nic dělat.

Podpis:

Produkty služeb technické podpory a znalostní báze Microsoft Knowledge Base =
najdete na webu technické podpory společnosti Microsoft.
http://support.microsoft.com/

Pro informace týkající se zabezpečení týkající se produktů společnosti Microsoft prosím =
navštivte webový server Microsoft Security Advisor
http://www.microsoft.com/security/

Děkujeme, že používáte produkty společnosti Microsoft.

Na tuto zprávu prosím neodpovídejte.
Bylo odesláno z nekontrolované e-mailové adresy a my jsme schopni =
odpovědět na všechny odpovědi.

----------------------------------------------
Názvy skutečných společností a uvedených výrobků
zde jsou ochranné známky příslušných vlastníků.

Název přílohy:

náplast [náhodné číslo] .exe
nainstalujte [náhodné číslo] .exe
q [náhodné číslo] .exe
aktualizovat [náhodné číslo] .exe

Skutečný obsah těla může být méně komplikovaný v závislosti na různých okolnostech.

• Předmět může obsahovat:

  Dopis
  radit, podat zprávu
  Zpráva
  Oznámení
  Zpráva
  Oznámení
  Chyba
  Chyba
  Přerušit
  Selhalo
  Uživatel neznámý

• Tělo může obsahovat:

  Ahoj!
  Toto je program qmail
  Zpráva od [náhodná hodnota]
  omlouvám se
  Je mi líto, že to musím informovat
  bojím se
  Obávám se, že se vám nepodařilo doručit vaši zprávu na následující adresy
  zpráva vrácená níže nemohla být doručena
  Nemohla jsem vám doručit vaši zprávu
  do jednoho nebo více destinací

V některých případech může červ zaslat vlastní kopie v archivované podobě - ​​ZIP nebo RAR.

Propagace přes Kazaa

Swen se propaguje prostřednictvím sítě Kazaa pro sdílení souborů tím, že se sám kopíruje pod náhodnými jmény v adresáři výměny souborů v Kazaa Lite. Vytvoří také podadresář v adresáři Windows Temp s náhodnými názvy, které dělají několik kopií s náhodnými názvy.

Tento adresář je v registru systému Windows označen jako lokální obsah pro systém sdílení souborů Kazaa.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% název složky 

Výsledkem je, že nové soubory vytvořené Swenem budou k dispozici ostatním uživatelům sítě Kazaa.

Propagace prostřednictvím kanálů IRC

Červ kontroluje nainstalovaný klient mIRC. Pokud je zjištěno, Swen potom upraví soubor script.ini přidáním postupů propagace. Soubor scrip.ini pošle infikovaný soubor z adresáře systému Windows všem uživatelům, kteří se připojují k nyní infikovanému kanálu IRC.

Propagace prostřednictvím sítě LAN

Červ kontroluje všechny dostupné jednotky. Pokud najde síťovou jednotku, zkopíruje se tam v následujících složkách pod náhodným názvem:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
dokument a nastavení všichni uživatelé spustit menuprogramsstartup
dokument a nastavenídefault userstart menuprogramsstartup
dokument a nastaveníadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

jiný

Červa se snaží zablokovat spouštění a práci různých antivirových programů a firewallů:

 _avpackwin32anti-trojanaplika32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntavpavsched32avwin95avwupd32černáČerný ledbootwarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ekengineefinet32esafeespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwf-stopwposmívat seiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppčelímiomon98jedi 

 kpfw32lockdown2000pozorluallbláznivýmpftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistnupdatenupgradenvc95základnapadminpavclpavschedpavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trappviewravregeditzachránitsafewebserv95sfingazametattcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaprozonealarm 

Po spuštění tohoto programu Swen zobrazí následující falešné chybové zprávy:

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com