Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Email-Worm
E-Mail-Würmer verbreiten sich per E-Mail. Der Wurm sendet eine Kopie von sich selbst als Anhang an eine E-Mail-Nachricht oder einen Link zu seiner Datei auf einer Netzwerkressource (z. B. eine URL zu einer infizierten Datei auf einer kompromittierten Website oder einer Hacker-eigenen Website).Im ersten Fall wird der Wurmcode aktiviert, wenn der infizierte Anhang geöffnet (gestartet) wird. Im zweiten Fall wird der Code aktiviert, wenn der Link zur infizierten Datei geöffnet wird. In beiden Fällen ist das Ergebnis dasselbe: Der Wurmcode ist aktiviert.
Email-Würmer verwenden eine Reihe von Methoden, um infizierte E-Mails zu versenden. Die häufigsten sind:
Verwenden einer direkten Verbindung zu einem SMTP-Server mithilfe des E-Mail-Verzeichnisses, das in den Code des Wurms integriert ist
Verwenden von MS Outlook-Diensten
Verwenden von Windows MAPI-Funktionen.
Email-Würmer verwenden eine Reihe verschiedener Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:
das Adressbuch in MS Outlook
eine WAB-Adressdatenbank
.txt-Dateien, die auf der Festplatte gespeichert sind: Der Wurm kann feststellen, welche Zeichenfolgen in Textdateien E-Mail-Adressen sind
E-Mails im Posteingang (einige E-Mail-Würmer "antworten" sogar auf E-Mails im Posteingang)
Viele E-Mail-Würmer verwenden mehr als eine der oben aufgeführten Quellen. Es gibt auch andere Quellen für E-Mail-Adressen, z. B. Adressbücher für webbasierte E-Mail-Dienste.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dies ist der erste bekannte moderne Internet-Wurm, der "in der Wildnis" entdeckt wurde. Dies
Computer-Wurm ist eine Art von Virus-Programm, das, während es seine Kopien verbreitet, keine Disk-Dateien als Hauptziel infizieren, sondern seine Kopien durch Senden repliziert
sich über das Internet als Anhang in E-Mail-Nachrichten. Der Wurm wurde von jemandem (vielleicht vom Autor des Wurms) auf mehrere Newsserver gestellt
im Januar 1999, und dann in wenigen Tagen, wurde es in Europa "in freier Wildbahn" entdeckt und breitete sich weiter aus.
Der Wurm kommt als Anhang in einer E-Mail als HAPPY99.EXE-Datei an.
Wenn ein infizierter Anhang ausgeführt wird und die Kontrolle erlangt, wird der Wurm angezeigt
ein lustiges Feuerwerk im Programmfenster, um seine bösartige Natur zu verbergen. Während
das installiert es sich im System, hakt Sendungen ins Internet,
wandelt seinen Code in den Anhang um und hängt ihn an die Nachrichten an. Als ein
Dadurch kann sich der Wurm, wenn er in das System eingebaut wird, ausbreiten
Die Kopien werden an alle Adressen gesendet, an die die Nachrichten gesendet werden.
Während der Installation betrifft der Wurm Dateien im Windows-Systemverzeichnis
nur. Es erstellt die Dateien SKA.EXE und SKA.DLL dort, kopiert die
WSOCK32.DLL zu der neu erstellten WSOCK32.SKA und patcht das Original
WSOCK32.DLL-Datei zum Anhängen von E-Mail-Sendeaufrufen.
Entfernung und Schutz
Wenn der Wurm in Ihrem System erkannt wird, können Sie ihn einfach durch entfernen
Löschen der Dateien SKA.EXE und SKA.DLL im Windows-Systemverzeichnis. Sie
Außerdem sollte die WSOCK32.DLL-Datei gelöscht und durch WSOCK32.SKA ersetzt werden
Originaldatei. Die ursprüngliche HAPPY99.EXE-Datei sollte ebenfalls gefunden werden und
gelöscht.
Um Ihren Computer vor einer erneuten Infektion zu schützen, müssen Sie nur den "Read-Only"
Attribut für die WSOCK32.DLL-Datei. Der Wurm achtet nicht auf die
Read-Only-Modus und Fehler beim Patchen der Datei. Dieser Trick wurde von entdeckt
Peter Szor bei DataFellows (http://www.datafellows.com).
Bitte denk daran
Öffnen Sie nicht die HAPPY99.EXE-Datei, die Sie empfangen haben, und führen Sie sie nicht aus
als Anhang in einer Nachricht, wenn Sie es von einer nicht vertrauenswürdigen oder unbekannten Quelle erhalten. Sie sollten auch daran denken, dass die Dateien, auf die Sie zugegriffen haben
aus dem Internet kann bösartigen Code enthalten, der Ihren Computer infizieren kann,
Zerstöre Daten, sende vertrauliche Dateien über das Internet oder installiere einen Spion
Programme zur Überwachung Ihres Computers von einem Remote-Host.
Das Öffnen von MS Office-Dateien mit deaktiviertem VirusProtection und das Ausführen nicht vertrauenswürdiger ausführbarer Dateien ist äußerst riskant. Sie sollten dies immer im Hinterkopf behalten, wenn Sie eine Anlage für eingehende Nachrichten sehen.
Technische Details
Der Wurm kommt genau wie eine 10.000-Byte ausführbare HAPPY99.EXE-Datei an.
Diese Datei verfügt über eine interne Win32 Portable Executable (PE) -Struktur. Der Wurm
installiert sich in den Win95 / 98-Systemen und fährt fort, mit nein zu verbreiten
Probleme. Unter WinNT kann es sich aufgrund von Fehlern nicht verbreiten.
Der Wurm enthält Textstrings, von denen einige verschlüsselt sind:
Ist es ein Virus, ein Wurm, ein Trojaner? MOUT-MOUT Hybrid (c) Spanska 1999.
Frohes Neues Jahr 1999 !!
Beginne 644 Happy99.exe Ende
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe
Wenn die HAPPY99.EXE-Datei ausgeführt wird, kopiert sich der Wurm auf Windows
Systemverzeichnis mit dem Namen SKA.EXE und löscht die zusätzliche SKA.DLL
Datei im selben Verzeichnis. Die SKA.DLL ist in der EXE-Hauptdatei gespeichert
(HAPPY99.EXE) in verschlüsselter und lite-gepackter Form.
Der Wurm kopiert dann die Datei WSOCK32.DLL in den Namen WSOCK32.SKA (macht a
"backup") und patcht die WSOCK32.DLL-Datei. Wenn die WSOCK32.DLL verwendet wird
und kann nicht zum Schreiben geöffnet werden, der Wurm erstellt einen neuen Schlüssel im System
Registrierung, um seinen Dropper während des nächsten Neustarts auszuführen:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE
Der WSOCK32.DLL-Patch besteht aus einer Wurminitialisierungsroutine und zwei
umgeleitete Exporte. Die Initialisierungsroutine ist nur ein kleiner Teil von
Wurmcode - nur 202 Bytes. Es wird am Ende des WSOCK32.DLL-Codes gespeichert
Abschnitt (".text" Abschnitt). Die WSOCK32.DLL hat genug Platz dafür,
und die Größe von WSOCK32.DLL wird während der Infektion nicht erhöht. Dann ist die
Wurm patcht die WSOCK32.DLL-Exporttabellen so, dass zwei Funktionen ("connect")
und "send") zeigt auf die Wurminitialisierungsroutine am Ende von
WSOCK32.DLL-Codeabschnitt.
Wenn ein Benutzer eine Verbindung mit dem Internet herstellt, wird WSOCK32.DLL aktiviert und
Der Wurm hakt zwei Ereignisse: Verbindung und Senden von Daten. Der Wurm überwacht
die E-Mail- und News-Ports (25 und 119 - smtp und nntp). Wenn es a erkennt
Verbindung an einem dieser Ports, lädt es seine SKA.DLL-Bibliothek, die zwei hat
Exporte: "Mail" und "Nachrichten". Abhängig von der Portnummer ruft der Wurm auf
eine dieser Routinen, aber beide erstellen eine neue Nachricht, einfügen
UUencoded Wurm HAPPY99.EXE Dropper hinein und senden Sie es an eine Internetadresse. Der Wurm fügt auch seinen Klumpenkopf von "infiziert" hinzu
Mitteilungen:
X-Spanska: Ja
Beim Senden infizierter Anhänge speichert der Wurm die Empfänger
Adressen in die LISTE.SKA-Datei im Windows-Systemverzeichnis. Dieses "Protokoll"
Die Datei enthält bis zu 5 KB Daten und kann bis zu 200 Adressen enthalten
Die infizierten Nachrichten wurden an gesendet.
Demonstrationen der Auswirkungen des Virus:
glücklich.gif |
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com