Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o internetový červ (virus typu červ), který se šíří prostřednictvím e-mailů, IRC kanálů, infikuje soubory v lokálních počítačích a šíří se do lokální sítě. Také ukradne systémová hesla (soubory PWL) z infikovaných počítačů, stejně jako mnoho neškodných a nebezpečných rutin. Samotný červ je o velikosti 80kb ve formátu Win32 (PE EXE – Portable Executable) napsaný programem Delphi, "čistý" kód červa zaujímá přibližně 20 kB a zbytek je kód knihovny Delphi, data a různé informace programu.

Červ přijde jako e-mail s falešnou zprávou (viz níže) a připojeným souborem PKZIP.EXE, který je samotným programem červů. Když je červ spuštěn, instaluje se do systému, infikuje soubory na místní jednotce, infikuje dostupné logické jednotky, infikuje nainstalovaný klient mIRC a odesílá infikované e-maily pomocí poštovního systému Eudora.

Instalace do systému

Pro instalaci do systému se červeň zkopíruje názvem KERNEL.EXE do adresáře systému Windows (na počítačích Win95 / 98) nebo do systémového adresáře systému Windows (na WinNT) a zaregistruje se v klíči automatického spuštění registru systému :

SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

Červa má také další instalační rutinu, která nainstaluje červové kopie do všech dostupných jednotek. Tato rutina je popsána níže.

Infikování počítače

Červ je schopen infikovat asi 40 souborů v počítači a infikuje ne více než čtyři soubory na každém spuštění. Červ infikuje soubory v adresáři Windows:

NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,USRMGR.EXE

Červ potom infikuje programy, které jsou přiřazeny klíči registru:

SOFTWAREClassesAccess.Application.8 shellopencommandSOFTWAREClassesAudioCD shellplaycommandSOFTWAREClassesAVIFile shellplaycommandSOFTWAREClassescdafile shellplaycommandSOFTWAREClassesChat shellopencommandSOFTWAREClientsNewsForte Agent shellopencommandSOFTWAREClassesExcel.Sheet.8 shellopencommandSOFTWAREClassesftp shellopencommandSOFTWAREClassesgiffile shellopencommandSOFTWAREClasseshlpfile shellopencommandSOFTWAREClassesEudora DefaultIconSOFTWAREClassesEudora shellopencommandSOFTWAREClassesMicrosoft Internet Mail Zpráva shellopencommandSOFTWAREClassesMicrosoft Internet News Zpráva shellopencommandSOFTWAREClassesMOVFile shellopencommandSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32 shellopencommandSOFTWAREClassesQuickView shellopencommandSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClassesUnfinished Stáhnout shellopencommandSOFTWAREClassesUltraEdit-32 Dokument shellopencommandSOFTWAREKřídyWorkboard shellopencommandSOFTWAREClassesvcard_wab_auto_file shellopencommandSOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exeSOFTWAREKasperskyLabComponents102EXEName

Během infekce jednotlivých souborů používá červa metodu doprovodných infekcí: přejmenuje soubor obětí s náhodným pojmenováním osm bajtů a příponou .EXE (například: GTGUQPPA.EXE, XOHSKVXQ.EXE atd.) A umístí se jménem původní soubor. V důsledku toho bude kopie červa provedena pokaždé, když uživatel nebo systém spustí infikovaný soubor.

Chcete-li vrátit kontrolu zpět do hostitelského souboru, červa uloží názvy souborů v klíči registru HKCUAppEventsSchemesApps.DefaultSystemStartWindows, například:

C: WIN95calc.exe "gtguqppa.exe"C: WIN95mplayer.exe "xohskvxq.exe"atd

Tyto informace lze použít k dezinfekci počítače.

Chcete-li zjistit již infikované soubory, červa používá soubor FileVersion, který je uložen v zdrojích souborů PE EXE. V infikovaných souborech je tato proměnná nastavena na "1.3.5.7".

Zablokování lokálních a síťových jednotek

Červ se také zkopíruje a "registruje" dostupné logické jednotky: vyměnitelné, pevné a síťové. Během načítání vyměnitelných souborů červa vyhledá soubor AUTOEXEC.BAT, přidá instrukci k spuštění souboru PKZIP.EXE při načítání z jednotky a zkopíruje se do jednotky s názvem souboru PKZIP.EXE.

Po nakazení pevných disků hledá červec soubor PKZIP.EXE v kořenových adresářích na těchto jednotkách a zkopíruje se tímto jménem, pokud se takový soubor neopustí. Chcete-li tento soubor spustit, vytvoří worm soubor AUTORUN.INF na jednotce a zapíše blok instrukcí tam, aby spustil soubor PKZIP.EXE (kopii šifru) na další Windows hvězdicovou kopii:

[autorun]open = pkzip.exe

Během infikování vzdálené jednotky červa nejdříve zkontroluje tuto jednotku na písemné povolení. K tomu vytvoří červa soubor TEMP9385.058 a odstraní jej. V případě, že během operace nedošlo k žádným chybám, červa pokračuje v rozšiřování na jednotku. Kopíruje se tam s názvem PKZIP.EXE a vytvoří soubor AUTORUN.INF stejným způsobem jako při ovlivňování pevných jednotek v místním počítači. Navíc červ hledá adresáře Windows a WinNT na jednotce a zaregistruje svou kopii PKZIP.EXE v souboru Win.ini v příkazu [run] "run". Tato operace také způsobuje spuštění černých kopií při příštím spuštění systému Windows.

Zatímco infikuje síťové jednotky, červ také ničí několik spustitelných souborů, pokud existují, a přepíše je kopií:

Acrobat3ReaderAcrord32.exeEudora95Eudora.exeProgram FilesMicrosoft OfficeOfficeOutlook.exeProgram FilesInternet ExplorerIexplore.exeProgram FilesWinZipWinZip32.exeProgram FilesMicrosoft OfficeOfficeWinWord.exeProgram FilesNetscapeProgramNetscape.exe

Zablokování klienta mIRC a šíření prostřednictvím IRC kanálů

Tato rutina je spuštěna v závislosti na systémovém čase, ne vždy při spuštění infikovaných souborů. Hledá mIRC klienta nainstalovaný v systému pomocí přístupu k souboru mIRC skriptu v adresářích:

C: MIRCSCRIPT.INIC: MIRC32SCRIPT.INIC: Program FilesMIRCSCRIPT.INIC: Program FilesMIRC32SCRIPT.INI

Pokud takové soubory neexistují, červa opustí rutinní infekci. V opačném případě přepíše soubor SCRIPT.INI příkazem, který odešle soubor C: PKZIP.EXE všem, kteří vstupují do postiženého kanálu.

Odesílání infikovaných e-mailů

Tato rutina se provádí v závislosti na systémovém čase a rutině infekce mIRC. Nejdříve získá červený název adresáře Eudora přístupem klíče registru: SoftwareQualcommEudoraCommandLine. Červ potom skenuje databázi odchozích e-mailů Eudora (soubory OUT.MBX), odtud získává adresy a ukládá je do seznamu, kam bude zaslána infikovaná zpráva. Zdá se, že červ také přidává do tohoto seznamu e-mailovou adresu "support@microsoft.com".

Červ potom připraví soubor C: USER.MSG, který bude použit pro inicializaci systému Eudora sendmail. Červ píše tam všechny potřebné údaje k odeslání zprávy s infikovaným připojením:

Komu: seznam adres z souboru OUT.MBX plus "support@microsoft.com"Předmět: Zde je to, co u požadujetePřílohy X: c: pkzip.exe;Tělo zprávy:Požádali jste o to chvíli zpátky, takže tady jste.užívat si.

Červ otevře soubor C: USER.MSG pomocí funkce systému Windows, která aktivuje službu Eudora sendmail.

K ukrácení souborů hesel

Během instalace do systému a napadení souborů vyhledává červ také soubory hesel systému Windows (soubory PWL), přečte data hesel a připojí se k infikovanému souboru.

Červ neposílá hesla na libovolnou internetovou adresu, ale pouze je přidává k infikovaným souborům. Výsledkem je, že odcizené hesla opouštějí počítač pouze v případě, že červa šíří své kopie na internetové nebo IRC kanály.

Rutiny užitečného zatížení

Červ má mnoho rutin užitečných zatížení, které jsou aktivovány v závislosti na datu a čase systému. Červ podle těchto rutin:

– Zastaví počítač spuštěním neomezeného počtu závitů.

– Přepsá klíč registru .DEFAULTSoftwareMicrosoftRegEdt32Settings s hodnotou "AutoRefresh = 0".

– Změní nastavení aplikace Internet Explorer. Přepsáním klíčů registru SOFTWAREMicrosoftInternet ExplorerMain červy nastaví "Start Page" na "http://www.whitehouse.com/" a "Vyhledat stránku" na "http://www.bigboobies.com" a zakáže mezipaměť pro internet aktualizace.

Přepisem klíčů registru softwaru SOFTWAREMicrosoftInternet ExplorerSearchUrl a SOFTWAREMicrosoftInternet ExplorerTypedURLs červa nastaví webovou stránku "http://www.gayextreme.com/queer/handle-it.html" na první místo naposledy použitých webových stránek; nastaví "SearchURL" na "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Přepsáním souborů klíčů registru SoftwareMirabilisICQBookmarks:

"Hlavní stránka" na "http://www.biggfantac.com/terra/index.html","Zákaznická podpora" na "http://www.pornoparty.net""Menu" na "http://www.gayextreme.com/queer/handle-it.html"

– Vymaže všechna tlačítka z

SOFTWAREMicrosoftWindowsCurrentVersionUninstall neboSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones

– Nastavuje nastavení systému Windows:

RegisteredOwner = "Idiot s virem"RegisteredOrganization a ProductID = "Virus Registry Rage L1999"

– Vytvoří soubory C: POEM1.TXT nebo C: POEM2.TXT, zapíše jeden z těchto textů (viz níže) a otevře je pomocí programu NOTEPAD.EXE. Texty vypadají následovně:

Vydělat tělu a mysli, co se drží a jde dála není smrtí smrtí;Budu vyčerpat egoismus a ukážu mu, že to všechno stojí, a já budubard osobnosti,A ukážu muže i ženu, že buď je stejnájiný,A ukážu, že v současnosti není žádná nedokonalost, anemůže být v budoucnu žádná,A ukážu, že co se stane s někým, na co se může obrátitkrásné výsledky,A ukážu, že se nic nemůže stát krásnější než smrt …- Walt WhitmanNic božského neumírá. Všechno dobré je věčně reproduktivní. Krásapřírodní reformy samy v mysli a ne pro neplodné rozjímání,ale pro nové stvoření.Všichni muži jsou do určité míry ohromeni tváří světa; někteří mužidokonce i radost. Tato láska k kráse je Chuť. Jiní mají stejnou láskuv takovém přebytku, že se nespokojují s obdivováním, snaží se ztělesnitv nových formách. Tvorbou krásy je umění.- Ralph Waldo Emerson

Rutiny zatížení červa také vymažou nebo upravují různá nastavení systému Windows, minimalizují nastavení zálohování a skenování, vymažou zálohu registru atd.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o internetový červ (virus typu červ), který se šíří prostřednictvím e-mailů, IRC kanálů, infikuje soubory v lokálních počítačích a šíří se do lokální sítě. Také ukradne systémová hesla (soubory PWL) z infikovaných počítačů, stejně jako mnoho neškodných a nebezpečných rutin. Samotný červ je o velikosti 80kb ve formátu Win32 (PE EXE – Portable Executable) napsaný programem Delphi, "čistý" kód červa zaujímá přibližně 20 kB a zbytek je kód knihovny Delphi, data a různé informace programu. Červ přijde jako e-mail s falešnou zprávou (viz níže) a připojeným souborem PKZIP.EXE, který je samotným programem červů. Když je červ spuštěn, instaluje se do systému, infikuje soubory na místní jednotce, infikuje dostupné logické jednotky, infikuje nainstalovaný klient mIRC a odesílá infikované e-maily pomocí poštovního systému Eudora. Instalace do systému Pro instalaci do systému se červeň zkopíruje názvem KERNEL.EXE do adresáře systému Windows (na počítačích Win95 / 98) nebo do systémového adresáře systému Windows (na WinNT) a zaregistruje se v klíči automatického spuštění registru systému : SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe Červa má také další instalační rutinu, která nainstaluje červové kopie do všech dostupných jednotek. Tato rutina je popsána níže. Infikování počítače Červ je schopen infikovat asi 40 souborů v počítači a infikuje ne více než čtyři soubory na každém spuštění. Červ infikuje soubory v adresáři Windows: NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,USRMGR.EXE Červ potom infikuje programy, které jsou přiřazeny klíči registru: SOFTWAREClassesAccess.Application.8 shellopencommandSOFTWAREClassesAudioCD shellplaycommandSOFTWAREClassesAVIFile shellplaycommandSOFTWAREClassescdafile shellplaycommandSOFTWAREClassesChat shellopencommandSOFTWAREClientsNewsForte Agent shellopencommandSOFTWAREClassesExcel.Sheet.8 shellopencommandSOFTWAREClassesftp shellopencommandSOFTWAREClassesgiffile shellopencommandSOFTWAREClasseshlpfile shellopencommandSOFTWAREClassesEudora DefaultIconSOFTWAREClassesEudora shellopencommandSOFTWAREClassesMicrosoft Internet Mail Zpráva shellopencommandSOFTWAREClassesMicrosoft Internet News Zpráva shellopencommandSOFTWAREClassesMOVFile shellopencommandSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32 shellopencommandSOFTWAREClassesQuickView shellopencommandSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClassesUnfinished Stáhnout shellopencommandSOFTWAREClassesUltraEdit-32 Dokument shellopencommandSOFTWAREKřídyWorkboard shellopencommandSOFTWAREClassesvcard_wab_auto_file shellopencommandSOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exeSOFTWAREKasperskyLabComponents102EXEName Během infekce jednotlivých souborů používá červa metodu doprovodných infekcí: přejmenuje soubor obětí s náhodným pojmenováním osm bajtů a příponou .EXE (například: GTGUQPPA.EXE, XOHSKVXQ.EXE atd.) A umístí se jménem původní soubor. V důsledku toho bude kopie červa provedena pokaždé, když uživatel nebo systém spustí infikovaný soubor. Chcete-li vrátit kontrolu zpět do hostitelského souboru, červa uloží názvy souborů v klíči registru HKCUAppEventsSchemesApps.DefaultSystemStartWindows, například: C: WIN95calc.exe "gtguqppa.exe"C: WIN95mplayer.exe "xohskvxq.exe"atd Tyto informace lze použít k dezinfekci počítače. Chcete-li zjistit již infikované soubory, červa používá soubor FileVersion, který je uložen v zdrojích souborů PE EXE. V infikovaných souborech je tato proměnná nastavena na "1.3.5.7". Zablokování lokálních a síťových jednotek Červ se také zkopíruje a "registruje" dostupné logické jednotky: vyměnitelné, pevné a síťové. Během načítání vyměnitelných souborů červa vyhledá soubor AUTOEXEC.BAT, přidá instrukci k spuštění souboru PKZIP.EXE při načítání z jednotky a zkopíruje se do jednotky s názvem souboru PKZIP.EXE. Po nakazení pevných disků hledá červec soubor PKZIP.EXE v kořenových adresářích na těchto jednotkách a zkopíruje se tímto jménem, pokud se takový soubor neopustí. Chcete-li tento soubor spustit, vytvoří worm soubor AUTORUN.INF na jednotce a zapíše blok instrukcí tam, aby spustil soubor PKZIP.EXE (kopii šifru) na další Windows hvězdicovou kopii: [autorun]open = pkzip.exe Během infikování vzdálené jednotky červa nejdříve zkontroluje tuto jednotku na písemné povolení. K tomu vytvoří červa soubor TEMP9385.058 a odstraní jej. V případě, že během operace nedošlo k žádným chybám, červa pokračuje v rozšiřování na jednotku. Kopíruje se tam s názvem PKZIP.EXE a vytvoří soubor AUTORUN.INF stejným způsobem jako při ovlivňování pevných jednotek v místním počítači. Navíc červ hledá adresáře Windows a WinNT na jednotce a zaregistruje svou kopii PKZIP.EXE v souboru Win.ini v příkazu [run] "run". Tato operace také způsobuje spuštění černých kopií při příštím spuštění systému Windows. Zatímco infikuje síťové jednotky, červ také ničí několik spustitelných souborů, pokud existují, a přepíše je kopií: Acrobat3ReaderAcrord32.exeEudora95Eudora.exeProgram FilesMicrosoft OfficeOfficeOutlook.exeProgram FilesInternet ExplorerIexplore.exeProgram FilesWinZipWinZip32.exeProgram FilesMicrosoft OfficeOfficeWinWord.exeProgram FilesNetscapeProgramNetscape.exe Zablokování klienta mIRC a šíření prostřednictvím IRC kanálů Tato rutina je spuštěna v závislosti na systémovém čase, ne vždy při spuštění infikovaných souborů. Hledá mIRC klienta nainstalovaný v systému pomocí přístupu k souboru mIRC skriptu v adresářích: C: MIRCSCRIPT.INIC: MIRC32SCRIPT.INIC: Program FilesMIRCSCRIPT.INIC: Program FilesMIRC32SCRIPT.INI Pokud takové soubory neexistují, červa opustí rutinní infekci. V opačném případě přepíše soubor SCRIPT.INI příkazem, který odešle soubor C: PKZIP.EXE všem, kteří vstupují do postiženého kanálu. Odesílání infikovaných e-mailů Tato rutina se provádí v závislosti na systémovém čase a rutině infekce mIRC. Nejdříve získá červený název adresáře Eudora přístupem klíče registru: SoftwareQualcommEudoraCommandLine. Červ potom skenuje databázi odchozích e-mailů Eudora (soubory OUT.MBX), odtud získává adresy a ukládá je do seznamu, kam bude zaslána infikovaná zpráva. Zdá se, že červ také přidává do tohoto seznamu e-mailovou adresu "support@microsoft.com". Červ potom připraví soubor C: USER.MSG, který bude použit pro inicializaci systému Eudora sendmail. Červ píše tam všechny potřebné údaje k odeslání zprávy s infikovaným připojením: Komu: seznam adres z souboru OUT.MBX plus "support@microsoft.com"Předmět: Zde je to, co u požadujetePřílohy X: c: pkzip.exe;Tělo zprávy:Požádali jste o to chvíli zpátky, takže tady jste.užívat si. Červ otevře soubor C: USER.MSG pomocí funkce systému Windows, která aktivuje službu Eudora sendmail. K ukrácení souborů hesel Během instalace do systému a napadení souborů vyhledává červ také soubory hesel systému Windows (soubory PWL), přečte data hesel a připojí se k infikovanému souboru. Červ neposílá hesla na libovolnou internetovou adresu, ale pouze je přidává k infikovaným souborům. Výsledkem je, že odcizené hesla opouštějí počítač pouze v případě, že červa šíří své kopie na internetové nebo IRC kanály. Rutiny užitečného zatížení Červ má mnoho rutin užitečných zatížení, které jsou aktivovány v závislosti na datu a čase systému. Červ podle těchto rutin: – Zastaví počítač spuštěním neomezeného počtu závitů. – Přepsá klíč registru .DEFAULTSoftwareMicrosoftRegEdt32Settings s hodnotou "AutoRefresh = 0". – Změní nastavení aplikace Internet Explorer. Přepsáním klíčů registru SOFTWAREMicrosoftInternet ExplorerMain červy nastaví "Start Page" na "http://www.whitehouse.com/" a "Vyhledat stránku" na "http://www.bigboobies.com" a zakáže mezipaměť pro internet aktualizace. Přepisem klíčů registru softwaru SOFTWAREMicrosoftInternet ExplorerSearchUrl a SOFTWAREMicrosoftInternet ExplorerTypedURLs červa nastaví webovou stránku "http://www.gayextreme.com/queer/handle-it.html" na první místo naposledy použitých webových stránek; nastaví "SearchURL" na "http://www.fetishrealm.com/fatgirls/pic3.htm"; – Přepsáním souborů klíčů registru SoftwareMirabilisICQBookmarks: "Hlavní stránka" na "http://www.biggfantac.com/terra/index.html","Zákaznická podpora" na "http://www.pornoparty.net""Menu" na "http://www.gayextreme.com/queer/handle-it.html" – Vymaže všechna tlačítka z SOFTWAREMicrosoftWindowsCurrentVersionUninstall neboSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones – Nastavuje nastavení systému Windows: RegisteredOwner = "Idiot s virem"RegisteredOrganization a ProductID = "Virus Registry Rage L1999" – Vytvoří soubory C: POEM1.TXT nebo C: POEM2.TXT, zapíše jeden z těchto textů (viz níže) a otevře je pomocí programu NOTEPAD.EXE. Texty vypadají následovně: Vydělat tělu a mysli, co se drží a jde dála není smrtí smrtí;Budu vyčerpat egoismus a ukážu mu, že to všechno stojí, a já budubard osobnosti,A ukážu muže i ženu, že buď je stejnájiný,A ukážu, že v současnosti není žádná nedokonalost, anemůže být v budoucnu žádná,A ukážu, že co se stane s někým, na co se může obrátitkrásné výsledky,A ukážu, že se nic nemůže stát krásnější než smrt …- Walt WhitmanNic božského neumírá. Všechno dobré je věčně reproduktivní. Krásapřírodní reformy samy v mysli a ne pro neplodné rozjímání,ale pro nové stvoření.Všichni muži jsou do určité míry ohromeni tváří světa; někteří mužidokonce i radost. Tato láska k kráse je Chuť. Jiní mají stejnou láskuv takovém přebytku, že se nespokojují s obdivováním, snaží se ztělesnitv nových formách. Tvorbou krásy je umění.- Ralph Waldo Emerson Rutiny zatížení červa také vymažou nebo upravují různá nastavení systému Windows, minimalizují nastavení zálohování a skenování, vymažou zálohu registru atd.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.SysClock