Zranitelnosti Hrozby

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.Win32.Swen

Úvodní stránka Hrozby Email-Worm Email-Worm.Win32.Swen
Třída Email-Worm
Platfoma Win32
Popis

Technické údaje

Swen je velmi nebezpečný virus červů, který se šíří po internetu prostřednictvím e-mailu (ve formě infikovaného souboru), sítě sdílení souborů Kazaa, kanálů IRC a otevřených síťových zdrojů.

Swen je napsán v aplikaci Microsoft Visual C ++ a má velikost 105 kB (106496 bajtů).

Červ se aktivuje, když oběť spustí infikovaný soubor (dvojitým kliknutím na přílohu souboru) nebo když e-mailová aplikace poškozeného zařízení je zranitelná zranitelností IFrame.FileDownload (kterou využívají i červi Klez a Tanatos ). Jakmile se Swen nainstaluje do systému a začne rutinní propogaci.

Můžete stáhnout opravu vydané v březnu 2001 pro chybu zabezpečení IFrame: Bulletin zabezpečení společnosti Microsoft MS01-20 .

Červ blokuje mnoho antivirových programů a firewallů. Jeho algoritmus a části kódového textu jsou téměř totožné s jiným internetovým červem nazývaným I-Worm.Gibe , ačkoli používaný programovací jazyk je jiný.

Instalace

Při prvním spuštění může červ zobrazovat zprávu "Microsoft Internet Update Pack". Pak napodobuje instalaci opravy:

Červ se pak zkopíruje pod některým z níže uvedených jmen do adresáře Windows. Název může sestávat z několika částí.

První možnost:

  1. Kazaa Lite
    KaZaA mediální pracovní plocha
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Stáhněte si Accelerator
    GetRight FTP
    Windows přehrávač médií
  2. Generátor klíčů
    Zaseknout
    Hacked
    Warez
    nahrát
    Instalátor
    nahrát
    Instalátor

Druhá možnost:

  1. Bugbear
    Yaha
    Posmívat se
    Sircam
    Tak velké
    Klez
  2. Odstraňovač
    RemovalTool
    Čistič
    Fixtool

Třetí možnost:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 seriálů
Jenna Jamesonová
Hardporn
Sex
Emulátor Xbox
Emulátor Ps2
Aktualizace Xp
Xxx Video
Nemocný vtip
Obrázky Xxx
Moje nahá sestra
Halucinogenní spořič obrazovky
Vaření s konopím
Kouzelné houby rostou
Generátor virů

Nový soubor je registrován v klíči automatického spuštění registru systému Windows: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  náhodná sekvence =% windir% název souboru autorun

Vytvoří se identifikační klíč, který obsahuje konfigurační nastavení červů: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  náhodnou sekvencí

Červ potom vytvoří soubor pojmenovaný po infikovaném hostitelském počítači s příponou BAT ve složce Windows. Soubor obsahuje následující příkazy:

@ OFF OFF
POKUD NENÍ "% 1" == "" .exe% 1

Potom červ změní hodnoty klíčů v HKLMSoftwareClasses tak, aby se spouštěl při každém spuštění typů souborů BAT, COM, EXE, PIF, REG a SCR. 

 HKCRbatfileshellopencommand
  Výchozí =% windir%  "% 1"% *

HKCRcomfileshellopencommand
  Výchozí =% windir%  "% 1"% *
   
HKEY_CLASSES_ROOTexefileshellopencommand
  Výchozí =% windir%  "% 1"% *

HKCRpiffileshellopencommand
  Výchozí =% windir%  "% 1"% *

HKCRregfileshellopencommand
  Výchozí =% windir%  sprcha

HKCRscrfileshellconfigcommand
  Výchozí =% windir%  "% 1"
  
HKCRscrfileshellopencommand
  Výchozí =% windir%  "% 1" / S

Zakáže uživatelské schopnosti upravit systémový registr: 

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00

Při prvním spuštění červa přistupuje na následující vzdálený web:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Tento čítač označuje počet infikovaných počítačů.

Při pokusu o spuštění nové kopie červa na již infikovaném počítači se červ zobrazí následující zpráva:

Červ vyhledá všechny disky pro soubory s příponami DBX, MDX, EML, WAB a také, které obsahují buď HT nebo ASP v příponě. Swem pak extrahuje všechny e-mailové adresy, které může najít a uloží je do souboru s názvem germs0.dbv .

Červ se pokouší připojit k jednomu ze 350 serverů identifikovaných v souboru swen1.dat , aby zaslal infikované e-maily. Není-li možné připojení, červa zobrazí následující chybovou zprávu o výjimce MAPI 32:

a požaduje správnou e-mailovou adresu, stejně jako správný SMTP server.

Propagace prostřednictvím e-mailu

Červ zasílá všechny dostupné adresy pomocí přímého připojení k SMTP serveru. Infikované e-maily jsou ve formátu HTML a obsahují přílohu (skutečný červ).

Jméno odesílatele (sestává z několika částí):

  1. Microsoft
    SLEČNA
  2. (nesmí být používán)
    Korporace
  3. (nesmí být používán)
    Program
    Internet
    Síť
  4. (vždy součástí části 3)
    Bezpečnostní
  5. (nesmí být používán)
    Divize
    Sekce
    oddělení
    Centrum
  6. (nesmí být používán)
    Veřejnost
    Technický
    Zákazník
  7. (nesmí být používán)
    Bulletin
    Služby
    Pomoc
    Podpěra, podpora

Například:

Sekce zabezpečení Internetu společnosti Microsoft
MS technická pomoc

Adresa odesílatele (sestává ze dvou částí):

  • před "@": náhodná sekvence (příklad: tuevprkpevcg-gxwi @, dwffa @);
  • po "@": se skládá ze dvou částí (i když může být použito pouze jedno):
    1. zprávy
      zpravodaj
      bulletin
      důvěra
      poradce
      aktualizace
      technet
      Podpěra, podpora
    2. msdn
      microsoft
      slečna
      msn

    Například: "newsletter.microsoft" nebo jednoduše "support". Pokud se používají dvě části, jsou odděleny písmeny "." Nebo "_".

    Po "." doména je buď "com" nebo "net".

Předmět (sestává z různých částí):

  1. Nejnovější
    Nový
    Poslední
    Nejnovější
    Aktuální
  2. Síť
    Síť
    Microsoft
    Internet
  3. Bezpečnostní
    Kritický
  4. Vylepšit
    Balíček
    Aktualizace
    Náplast

Tělo:

MS Client (spotřebitel, partner, uživatel – náhodně vybraný)
to je nejnovější verze aktualizace zabezpečení,
"Září 2003, kumulativní oprava" aktualizace, která řeší
všechny známé bezpečnostní chyby
MS Internet Explorer, MS Outlook a MS Outlook Express.
Nainstalujte nyní, abyste ochránili počítač
z těchto zranitelností, z nichž nejzávažnější by mohlo
umožnit útočníkovi spustit kód ve vašem systému.
Tato aktualizace obsahuje funkci =
ze všech dříve uvolněných záplat.

Systémové požadavky: Windows 95/98 / Me / 2000 / NT / XP
Tato aktualizace platí pro:
– MS Internet Explorer, verze 4.01 a novější
– MS Outlook, verze 8.00 a novější
– MS Outlook Express, verze 4.01 a novější

Doporučení: Zákazníci by měli nainstalovat patch =
při nejbližší příležitosti.
Jak nainstalovat: Spusťte připojený soubor. Zvolte možnost Ano v zobrazeném dialogovém okně.
Jak používat: Po instalaci této položky nemusíte nic dělat.

Podpis:

Produkty služeb technické podpory a znalostní báze Microsoft Knowledge Base =
najdete na webu technické podpory společnosti Microsoft.
http://support.microsoft.com/

Pro informace týkající se zabezpečení týkající se produktů společnosti Microsoft prosím =
navštivte webový server Microsoft Security Advisor
http://www.microsoft.com/security/

Děkujeme, že používáte produkty společnosti Microsoft.

Na tuto zprávu prosím neodpovídejte.
Bylo odesláno z nekontrolované e-mailové adresy a my jsme schopni =
odpovědět na všechny odpovědi.

———————————————-
Názvy skutečných společností a uvedených výrobků
zde jsou ochranné známky příslušných vlastníků.

Název přílohy:

náplast [náhodné číslo] .exe
nainstalujte [náhodné číslo] .exe
q [náhodné číslo] .exe
aktualizovat [náhodné číslo] .exe

Skutečný obsah těla může být méně komplikovaný v závislosti na různých okolnostech.

  • Předmět může obsahovat:

    Dopis
    radit, podat zprávu
    Zpráva
    Oznámení
    Zpráva
    Oznámení
    Chyba
    Chyba
    Přerušit
    Selhalo
    Uživatel neznámý

  • Tělo může obsahovat:

    Ahoj!
    Toto je program qmail
    Zpráva od [náhodná hodnota]
    omlouvám se
    Je mi líto, že to musím informovat
    bojím se
    Obávám se, že se vám nepodařilo doručit vaši zprávu na následující adresy
    zpráva vrácená níže nemohla být doručena
    Nemohla jsem vám doručit vaši zprávu
    do jednoho nebo více destinací

V některých případech může červ zaslat vlastní kopie v archivované podobě – ​​ZIP nebo RAR.

Propagace přes Kazaa

Swen se propaguje prostřednictvím sítě Kazaa pro sdílení souborů tím, že se sám kopíruje pod náhodnými jmény v adresáři výměny souborů v Kazaa Lite. Vytvoří také podadresář v adresáři Windows Temp s náhodnými názvy, které dělají několik kopií s náhodnými názvy.

Tento adresář je v registru systému Windows označen jako lokální obsah pro systém sdílení souborů Kazaa. 

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345:% Windir %% temp% název složky

Výsledkem je, že nové soubory vytvořené Swenem budou k dispozici ostatním uživatelům sítě Kazaa.

Propagace prostřednictvím kanálů IRC

Červ kontroluje nainstalovaný klient mIRC. Pokud je zjištěno, Swen potom upraví soubor script.ini přidáním postupů propagace. Soubor scrip.ini pošle infikovaný soubor z adresáře systému Windows všem uživatelům, kteří se připojují k nyní infikovanému kanálu IRC.

Propagace prostřednictvím sítě LAN

Červ kontroluje všechny dostupné jednotky. Pokud najde síťovou jednotku, zkopíruje se tam v následujících složkách pod náhodným názvem:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
dokument a nastavení všichni uživatelé spustit menuprogramsstartup
dokument a nastavenídefault userstart menuprogramsstartup
dokument a nastaveníadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

jiný

Červa se snaží zablokovat spouštění a práci různých antivirových programů a firewallů: 

 _avp
ackwin32
anti-trojan
aplika32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
černá
Černý led
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ekengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
posmívat se
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
čelím
iomon98
jedi 
 kpfw32
lockdown2000
pozor
luall
bláznivý
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
základna
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
zachránit
safeweb
serv95
sfinga
zametat
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

Po spuštění tohoto programu Swen zobrazí následující falešné chybové zprávy:


Odkaz na originál
© 2020 AO Kaspersky Lab. All Rights Reserved.
Ochrana soukromí

Nahoru