Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a infikuje aplikace Win32 v místních počítačích a síťových prostředích. Používá knihovnu {"Win32.InvictusDLL": Win32_InvictusDLL} k infikování souborů.
Struktura infikovaných souborů se zobrazí takto:
� ===================== � � infikovaných � � hostitel souboru � � � � -------------------- �� ��polymorfní kód �� �� INVICTUS �� �� �� � + ------------------- + � ��body INVICTUS.DLL �� � + ------------------- + � �� tělo �� �L -------------------- � L ===================== -
Při spuštění infikovaného souboru je řídící tok předán k polymorfnímu kódu knihovny INVICTUS - to se provádí buď okamžitě, pokud vstupní bod programu ukazuje přímo na kód viru, nebo v závislosti na struktuře hostitele, pokud "Entry Point obscuring " byl použit. Tento kód dešifruje a vytvoří na disku knihovnu INVICTUS.DLL ve složce% SYSTEM% a kód červu ve složce% TEMP% s náhodným názvem souboru a pak spustí červa.
Soubor červa je aplikace systému Windows (soubor PEE EXE) o délce 8 kB a je napsán v assembleru.
Instalace
Když je červ spuštěn, nainstaluje se do systému a poté aktivuje rutinu odesílání e-mailových zpráv a infikování souborů Win32 a rutiny pro užitečné zatížení.
Během instalace se červeň zkopíruje do adresáře Windows s názvem arandom a zapíše do System.ini následující hodnoty:[boot] shell = Explorer.exe% jméno worm% Toto je provedeno tak, aby se červ nezahájil po spuštění systému Windows (pouze v systému Windows 9x / ME).
Šíření
Červ využívá vyhledávací nástroj "Bílé stránky ICQ" pro vyhledání e-mailových adres. Odesílá vyhledávací dotaz do motoru a poté vygeneruje e-mailové adresy z výsledků vyhledávání (ze stránky HTML, která obsahuje výsledky vyhledávání). Slova vyhledávacího dotazu jsou vybrána z následujícího seznamu:
MPB
sex
Dějiny
mp3
přátelé
letoun
ferrari
orgasmus
přátelství
kurva
milovat
sportovní
oslava
kočička
USA
Zvuk
Červ zasílá infikované zprávy všem nalezeným e-mailům. Červ používá přímé připojení k serveru SMTP, který je zvolen červem.
Infikované zprávy obsahují prázdné tělo a jeho předmět je vybrán z následujícího seznamu:
Bin Laden toillete paper !!
Sadam hussein a BinLaden v lásce
Bush dusí bin Ládina těžko <: P
Je Usáma Bin Ládin BAD-LOVEN?
USA proti Ženevské úmluvě?
Anthrax mail je pravdivý (ne vtip)
Biologické zbraně: Prevence!
Fucking mulláh v Islámábádu
O papil higienico do bin Ládina!
Sadam a BinLaden apaixonados
Bush fudendo bin Ládin <: P
Ser� que o Osama � mal-amado?
EUA agree convenṁao de genova?
Antraz pelo koreio (verdade)
Armas biologicas: Previna-se!
Fudendo ummm Islamabad
Bin Landen Toalettpapper
Sadam hussein a BinLaden �rf�r�lsk
ade Bush knullar Bin Ládin h�rt <: P
�r Osama Bin Laden inte �lskad?
�r USA emot Geneve �verenskom melsen?
Anthrax existerar patentu (det �r inget sk�mt)
Biologiska vapen: Frhrhindra!
Knulla v muslimě v Islámábádu
papír toillette bin Ládin
Sadam & BinLaden CZ AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim?
Usa proti kongresu v Genevě?
Le courrier Anthrax existuje
Arme Biologique: Příklady!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen!
Hussein & Bin Ládin, ERASTES
Bush gamaei agria bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles mě Antraka, einai gegonos
Biologika wpla: Prostasie!
Gamontas ena Moula na Islámábádu
Název přílohy : BINLADEN_BRASIL.EXE
Červ používá ve svých zprávách bezpečnostní porušení IFRAME v aplikaci Microsoft Internet Explorer, takže se může automaticky spouštět při prohlížení infikované zprávy.
Nahrazení souborů na lokálních discích
Červ infikuje následující soubory v adresáři Windows:
HH.EXE
NETSTAT.EXE
CALC.EXE
Také červa najde všechny programy v applogu systému Windows (většina aplikací spuštěných v počítači jsou registrována zde) a infikuje je. Potom červa nalezne spuštěnou kopii EXPLORER.EXE, zavře ji a infikuje soubor.
Nahrazení souborů na síťových zdrojích
Červ vyjmenuje síťové zdroje (vzdálené disky a adresáře) a připojí se k nim. Pokouší se zkopírovat do síťových prostředků s náhodným názvem souboru do následujících adresářů:
VYHRÁT
WIN2000
WIN2K
WINNT
OKNA
WINXP
a zapíše se do vzdáleného systému a spustí se automaticky se systémem Windows (pouze Windows 9x / ME).
Rutina užitečného zatížení
V závislosti na náhodném čítači červ načte následující řetězec náhodným počtem náhodných barev:
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU BŮH SHIVA TUPA DIOS BŮH
a zobrazí se okno s informacemi:
Potom červa "spí" po dobu 10 sekund a znehodnotí obsah obrazovky.
jiný
Červ hledá a zavírá následující okna:
Antivirová sada nástrojů Pro
AVP Monitor
Norton AntiVirus
Alarm zóny
Svoboda
Avconsol
McAfee VirusScan
Vshwin32
Červ vytvoří následující klíč registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden
a nastaví hodnoty tak, aby umožňoval úplný přístup k jednotce C: z místní sítě.
Červ odstraní následující klíč registru:
HKLMSystemCurrentControlSetServicesVxDNAVAP
a následující hodnotu registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect
Červ zapíše všechna síťová hesla do mezipaměti% WINDOWS% BinLaden.ini.
Červ obsahuje následující text:
Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, všechny ppl v #vxers
A samozřejmě, Usámu bin Ládina. Udržujte dobrou práci s Antrhaxem, člověče!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Kódováno NBK [MATRiX]
Každý brazilský HATES USA ... Jen se pokuste dostat Amazon z USAZobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!