Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Net-Worm
Net-Worms se šíří prostřednictvím počítačových sítí. Rozlišujícím znakem tohoto typu červa je, že nevyžaduje akci uživatele, aby se rozšířil.Tento typ červa obvykle vyhledává kritické chyby v softwaru běžícím v síťových počítačích. Za účelem napadnutí počítačů v síti posílá červ speciálně vytvořený síťový paket (nazývaný exploit) a v důsledku toho se červový kód (nebo část kódu škůdce) proniká do počítače oběti a aktivuje se. Někdy síťový paket obsahuje pouze část červového kódu, který bude stahovat a spouštět soubor obsahující hlavní modul červů. Někteří síťoví červi používají několik zneužívání současně k šíření, čímž zvyšují rychlost, s jakou se oběti nacházejí.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a kopíruje se do sdílených adresářů prostřednictvím lokální sítě a také napadá zranitelné stroje IIS (webové stránky). Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Microsoft C ++.
Aby mohl spustit z infikované zprávy, červa využívá porušení zabezpečení. Červ se pak instaluje do systému a provozuje rozšiřující rutinu a užitečné zatížení.
Červ obsahuje následující textový řetězec "autorských práv":
Concept Virus (CV) V.5, Autorská práva (C) 2001 RPChina
Instalace
Během instalace se červ sám zkopíruje:
do adresáře systému Windows s názvem MMC.EXE
do adresáře systému Windows s RICHED20.DLL (a přepsá původní soubor RICHED20.DLL systému Windows) a s názvem LOAD.EXE.
Ten poslední je registrován v sekci automatického spuštění v souboru System.ini:
[boot] shell = explorer.exe load.exe -dontrunold
Červ se také zkopíruje do dočasného adresáře s náhodnými názvy MEP * .TMP a MA * .TMP.EXE, například:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
Soubory EXE mají skryté a systémové atributy, stejně jako soubor LOAD.EXE (viz výše).
Červ potom řídí své rozšiřující a užitečné rutiny. V závislosti na verzi systému Windows se červ dotýká procesu EXLORER.EXE a může pracovat s jeho rutinami jako proces podprocesu (podproces) aplikace EXPLORER.
Šíření prostřednictvím e-mailu
Za účelem zasílání infikovaných zpráv se červ připojí k hostitelskému počítači pomocí protokolu SMTP a odesílá své kopie adresám obětí.
Aby získal e-mailové adresy obětí, používá červa dvěma způsoby:
1. skenuje * .HTM a * .HTML soubory a vyhledává e-mailové řetězce
2. pomocí MAPI se připojí k e-mailovým schránek MS Exchange a odtud získá e-mailové adresy.
Infikované zprávy jsou ve formátu HTML a obsahují:
Předmět: prázdný nebo náhodnýSubjekty jsou vybrány ze jména náhodně vybraného souboru ze složky:
Tělo: prázdné
Připojit: README.EXE
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
obvykle je to "Moje dokumenty" nebo náhodně vybraný soubor na jednotce C:
Za účelem šíření z infikovaných zpráv používá červa trik "IFRAME"; zranitelnost popsaná na adrese:
Bulletin zabezpečení společnosti Microsoft (MS01-020): Nesprávná záhlaví MIME může způsobit, že aplikace IE provede přílohu e-mailu http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Stáhnout opravu:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Co způsobuje zranitelnost?
Pokud poštovní zásilka ve formátu HTML obsahuje spustitelnou přílohu, jejíž typ MIME je nesprávně uveden jako jeden z několika neobvyklých typů, v IE chyba způsobí, že příloha bude provedena bez zobrazení varovného dialogu.
Co dělá náplast?
Oprava odstraní tuto chybu opravou tabulky typů MIME a jejich souvisejících akcí v IE. To má za následek zabránění tomu, aby se e-maily mohly automaticky spouštět spustitelné přílohy.
Šíření přes místní síť
Červ kontroluje lokální a sdílené (mapované) vzdálené jednotky ve třech různých způsobech a infikuje všechny dostupné adresáře tam.
Během infekce používá červ za dvěma způsoby:
1. Vytvoří soubory typu .EML (95% času) nebo .NWS (5%) s náhodně vybranými názvy. Výsledkem je, že tyto soubory EML a NWS jsou všude na infikovaném počítači (a v místní síti) a mohou jich být tisíce. Tyto soubory obsahují kopii červa v e-mailovém formuláři.
Formulář elektronické pošty je e-mailová zpráva ve formátu HTML s kopií červa v obálce MIME a trikem IFRAME, jak je popsáno výše. Po otevření se tato zpráva okamžitě infikuje zranitelným počítačem.
2. Červ hledá kombinace názvu souboru + rozšíření:
* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP
(* NAME * znamená, že může být v názvu souboru podřízený řetězec)
V případě nalezení takového souboru se červeň zkopíruje do e-mailového formuláře tam s názvem README.EML a připojuje k souboru HTM / ASP oběti program JavaScript, který jednoduše otevře soubor README.EML při HTML / ASP soubor je otevřen, čímž se aktivuje červ.
V důsledku toho červa infikuje webové stránky a může se šířit na počítače, které tyto webové stránky navštěvují.
Šíření jako útok IIS
Chcete-li soubor nahrať do počítače oběti, použije čep příkaz "tftp" a aktivuje dočasný server TFTP na infikovaném (aktuálním) počítači, aby zpracoval příkaz "get data" z počítače (vzdáleného) oběti přesně stejný jako červ červů služby IISWorm_BlueCode {"BlueCode".
Název souboru, který je odeslán do počítače oběti, je ADMIN.DLL.
Užitné zatížení
Rutina užitečného zatížení přidává uživatele "Host" do skupiny Administrator User Group (v důsledku toho má uživatel "Hostitel" plný přístup k infikovanému počítači).
Červ také otevírá všechny lokální jednotky pro sdílení.
Existuje několik variant červa "Nimda".
Všechny z nich jsou velmi originální a většina z nich je jen "opravená" verze původního wormu - textové řetězce v červovém těle jsou nahrazeny jinými řetězci).
Nimda.b
Jedná se o původní "Nimda" červ, komprimovaný kompresorem PCShrink Win32 PE EXE. Řetězce:
se nahrazují tímto:
Nimda.c
Jedná se přesně o původní "Nimda" červ, i když komprimovaný kompresorem UPX.
Nimda.d
Tato varianta červa byla na konci října 2001 zaslána na internet. Rozložila se ve stlačené podobě (kompresor PECompact) a tato forma má velikost 27 kB.
Jediný rozdíl od původního wormu jsou textové řetězce "autorských práv", které jsou v této verzi opraveny následujícím textem:
Virus HoloCaust.! V.5.2 Stephan Fernandez.Spain
Nimda.e
Jedná se o rekompilovanou variantu "Nimda" a existuje několik drobných rutin buď mírně fixovaných a / nebo optimalizovaných. Tato varianta byla nalezena ve volné přírodě koncem října 2001.
Viditelné rozdíly od původní verze červů jsou:
Přiložený název souboru:
SAMPLE.EXE (namísto README.EXE)
Soubory DLL jsou:
HTTPODBC.DLL a COOL.DLL (namísto ADMIN.DLL)
Text o autorských právech se nahrazuje tímto:
Concept Virus (CV) V.6, Copyright (C) 2001, (Toto je životopis, ne Nimda.)
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com