Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Obecné charakteristiky
Tento červa je schopen pracovat pouze na čínských verzích systému Windows a šíří se zasíláním infikovaných e-mailových zpráv. Červ má dvě složky: skriptovací program a soubor Windows PE EXE. První složka (skript) je zasílána v infikovaných e-mailových zprávách, infikuje počítač, stahuje a spouští součást EXE, která dokončí infekci a dále rozšiřuje kopie červa.
Instalace
Červ přichází jako zpráva HTML s programem JavaScriptu uvnitř. Tento skript je automaticky zpracován po otevření zprávy a ovládací kód červa.
Poznámka:
Internetové prohlížeče a e-mailové klienty mají vestavěné bezpečnostní ochrany, které zabraňují zabudování skriptových programů do zpráv, přístup k diskovým souborům a systémovým zdrojům (červ potřebuje rozšířit se samy - viz níže). Chcete-li systém napadnout z e-mailové zprávy, musí se červ vyhýbat těmto ochranám. Za tímto účelem využívá narušení zabezpečení aplikace Internet Explorer 5 - takzvanou "chybu zabezpečení typu Scriptlet.Typelib" (viz níže).
Červ vyhledá spouštěcí adresář - vyhledává adresáře Windows v následujícím pořadí:
C: Programy nabídky WINDOWSSstart-T-�
C: WINDOWStart MenuPrograms-T-�
C: Programy nabídky WINStart-T-�
C: Program WIN98Start MenuPrograms-T-�
C: WIN95Startujte MenuPrograms-T-�
C: WINDOWS.000Startujte MenuPrograms-T-�
C: WINDOWS.001Startujte MenuPrograms-T-�
D: Nabídka WINDOWSStart MenuPrograms-T-�
D: WINDOWStart MenuPrograms-T-�
D: WINStart MenuProgramy-T-�
D: WIN98Start MenuPrograms-T-�
D: WIN95Start MenuProgramy-T-�
D: WINDOWS.000Startujte MenuPrograms-T-�
D: WINDOWS.001Startujte MenuPrograms-T-�
V případě, že na stroji nejsou takové adresáře, červa nemůže infikovat systém a nemůže se dále šířit. Poslední znaky v každém řádku jsou čínské řetězce a nemohou být použity v žádné jiné místní verzi systému Windows, a proto je červ schopen ovlivnit pouze čínské Windows.
Pokud byl nalezen nějaký vhodný adresář, červ vytvoří soubor "Microsoft Internet Explorer.hta". Tento soubor obsahuje aplikaci HTML, která obsahuje ještě jeden program skriptů červů. Protože je soubor vytvořen v adresáři spouštění systému Windows, bude spuštěn při příštím spuštění systému Windows.
Jakmile provedete skript "Microsoft Internet Explorer.hta", vytvoří soubor MSIE.INI v adresáři systému Windows a uloží tam adresu serveru SMTP (červ získá adresu serveru SMTP ze systémového registru).
Poznámka:
server SMTP je počítač, který přijímá e-zprávy z počítače. V případech, kdy existuje samostatný počítač nebo e-mailový server, je adresa poskytovatele nebo jiná adresa, která je použita jako hostitelský e-mailový server pro odesílání a přijímání e-mailů.
Poté červ vytvoří složku "system" v adresáři systému Windows (například "C: WINDOWSSYSTEMsystem") a pokusí se stáhnout soubor MSIE.EXE z Internetu. K tomu se červ připojí k jedné z deseti FTP lokalit pomocí skriptu pro standardní utilitu FTP.EXE. Pokud stahování selže, červeň jde do smyčky a pokusí se jej opakovat každé tři minuty.
Když je soubor MSIE.EXE stažen, provádí ho červ (MSIE.EXE je samoobslužný archiv) a získá další dva soubory:
EXPLORER.EXE
MSWINSCK.OCX
EXPLORER.EXE je druhá součást červ (soubor Windows EXE) a MSWINSCK.OCX je knihovna pro přístup k Windows sockets.
Červ potom spustí soubor EXPLORER.EXE, který získává e-mailové adresy a odesílá infikované zprávy pomocí programu skriptu červů dovnitř pomocí protokolu SMTP. Chcete-li získat e-mailové adresy obětí, červ vyhledá strom podadresářů na všech jednotkách a hledá soubory * .NCH, * .SNM, * .DBX (soubory databáze pošty) a poté je vyhledá a vyhledá e-mailové adresy.
Červ EXPLORER.EXE provádí další akce. Nejprve vymaže "stopy" své komponenty skriptu a odstraní soubory, které byly vytvořeny: MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE. Potom se zaregistruje v souboru Win.ini v příkazu "run =", který se automaticky spustí při každém spuštění systému Windows.
Červ také upozorní svého autora (nebo možného hostitele) o jeho přítomnosti na infikovaném počítači. Chcete-li tak učinit, pošle zprávu na jednu z adres:
leebill_001@yahoo.com
leebill_002@yahoo.com
...
leebill_023@yahoo.com
existuje 23 možných adres a červec náhodně vybere jeden z nich.
Užitné zatížení
Červ má "backdoor" užitečné zatížení, které "poslouchá" vzdáleného hostitele a provádí jeho příkazy: zobrazit adresář, otevřít / zavřít / vytvořit / spustit / smazat soubor atd.
Demonstrace Kaspersky AntiViral Toolkit Pro (AVP) schopné bojovat proti červům "Unicle" jsou dostupné na webových stránkách společnosti Kaspersky na adrese http://www.kasperskylab.ru/eng/products/eval.asp.
Plně funkční verzi programu AntiViral Toolkit Pro můžete zakoupit prostřednictvím internetu na adrese: http://www.kasperskylab.ru/eng/buy/default.asp
Jak chránit před červem "Unicle"?
Společnost Microsoft vydala aktualizaci, která eliminuje chybu zabezpečení "Scriptlet.Typelib". Důrazně doporučujeme navštívit stránku http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP a nainstalovat tuto aktualizaci.
Pokud nepoužíváte žádné aplikace HTML (soubory HTA), existuje další způsob, jak zabránit infekci virem tohoto typu (červy a viry, které používají chybu zabezpečení "Scriptlet.Typelib"). Musíte odstranit přidružení souboru pro rozšíření .HTA. Chcete-li to provést, musíte postupovat takto:
1. Poklepejte na ikonu "Tento počítač" na ploše.
2. V zobrazeném okně zvolte menu "Zobrazit" -> "Možnosti ...".
3. Na kartě "Typy souborů" v seznamu "Registrované typy souborů" vyberte položku "Aplikace HTML".
4. Klikněte na tlačítko "Odstranit" a potvrďte akci.
5. Zavřete dialogové okno možností.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com