Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o červ, který se šíří infikovanými e-maily pomocí aplikace MS Outlook. Červ samotný je spustitelný systém Windows napsaný v Delphi a komprimován nástrojem pro kompresi Aspack PE EXE. Velikost souboru (komprimovaná) červa je asi 200K, původní (nekomprimovaná) velikost je asi 400K.
Červ se instaluje do systému a poté pravidelně přistupuje k aplikaci MS Outlook a odesílá infikované zprávy. V kódu šneku nejsou nalezeny rutiny užitečného zatížení.
Červ skrývá svou činnost a předstírá, že je nástrojem "Generátor osobních ID". Tento nástroj používá řetězec v kódování čínštiny, takže nemůže být skutečně viditelný pod jinými čínskými Windows.
Stejně jako se červ zobrazí okno "Generátor osobních ID", nainstaluje se do Windows. Chcete-li to provést, získává názvy adresářů systému Windows a Windows a zkopíruje se tam s názvem "SYSID.EXE". V případě, že červa nemůže rozpoznat adresář Windows, používá hard-coded názvy:
C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE
Při každém spuštění systému Windows se červ zaregistruje v systémovém registru v sekci automatického spuštění:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"
Červ používá trik pro skrytí tohoto záznamu. Po aktivaci červ odstraní tento záznam z registru a po jeho ukončení jej obnoví. Chcete-li zůstat aktivní co nejdéle, červ opouští svou kopii v paměti systému Windows jako skrytou aplikaci (službu). Takže červ je aktivní až do okamžiku, kdy je systém Windows vypnutý a záznam červa v registru systému není viditelný. V okamžiku, kdy je systém Windows vypnutý, červ obnoví záznam v registru.
Výsledkem je, že zápis červa nemůže být čten standardní RegEdit - prostě neexistuje, když systém Windows dokončil proces spouštění a až do okamžiku restartování systému Windows:
- Po každém restartu získá systém Windows název souboru červa z registru systému a spustí jej; červ potom tento záznam vymaže a zůstane v systémové paměti čekající na restart systému Windows. V tom okamžiku záznam registru červa neexistuje.
- Po vypnutí systému Windows obnoví červ svůj registr záznamu a je připraven znovu spouštět červ po dalším restartu systému Windows. V tom okamžiku existuje záznam registru, ale nelze jej číst pomocí standardních nástrojů.
Chcete-li se šířit prostřednictvím e-mailových zpráv, červa spustí pomocníka pro soubory. Tento soubor je aplikace VisualBasicScript a je vytvořen červem v adresáři systému Windows s názvem WINVER.VBS. Program VBS v tomto souboru získá přístup k aplikaci MS Outlook, získává náhodně vybraná jména z Adresáře a vytváří a odesílá zprávy na tyto adresy. Počet infikovaných adres závisí na celkovém počtu adres v adresářových seznamech. Pokud je méně než 200 adres, červ zasílá zprávy na 10%; jinak (více než 200 zpráv) zasílá červ infikovaným e-mailem na 2% z nich.
Infikované tělo zprávy je prázdné. Objekt zprávy je náhodně vybrán ze všech variant objektů nalezených v seznamu "Odeslané položky" aplikace Outlook.
Zpráva má čtyři připojené soubory. První je kopie EXE červů se jménem náhodně vybraným ze 100 variant (viz níže); za druhé, připojený soubor je náhodně vybrán ze souborů JPEG, .JPG, .DOC a .XLS, které jsou ve složce "C: Dokumenty". Dva další připojené soubory jsou náhodně vybrané e-mailové zprávy ze seznamu Odeslané položky.
Seznam možných názvů EXE červů se zobrazí takto:
pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Vezměte soubor Rest.exe
Take Easy.exe
Nepoužívejte čas.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Klepněte na tlačítko Me.exe
Apple.exe
Nový produkt Show.exe
Moje Resume.exe
Boss Game.exe
Chlapec a Girl.exe
WinZip9.exe
Dobrý Job.exe
Nový Language.exe
Key User.exe
My Letter.exe
Moje Sister.exe
Moje Mother.exe
Můj Otec.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
Jak jste You.exe
586 Tech.exe
Mobilní telefon.exe
Sex Picture.exe
Mladý King.exe
Oscar.exe
Happy Prince.exe
Star Child.exe
Question.exe
Problémy pro Today.exe
Acknowledgments.exe
Game99.exe
True nebo False.exe
Dobrý Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Zvolte Hry.exe
Life-Styles.exe
Life-Cycles.exe
Někdy.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
Nové Joke.exe
Nové System.exe
Nové Job.exe
Nové Chance.exe
Vydělat více Money.exe
Pomozte Yourself.exe
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com