Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Email-Worm
E-Mail-Würmer verbreiten sich per E-Mail. Der Wurm sendet eine Kopie von sich selbst als Anhang an eine E-Mail-Nachricht oder einen Link zu seiner Datei auf einer Netzwerkressource (z. B. eine URL zu einer infizierten Datei auf einer kompromittierten Website oder einer Hacker-eigenen Website).Im ersten Fall wird der Wurmcode aktiviert, wenn der infizierte Anhang geöffnet (gestartet) wird. Im zweiten Fall wird der Code aktiviert, wenn der Link zur infizierten Datei geöffnet wird. In beiden Fällen ist das Ergebnis dasselbe: Der Wurmcode ist aktiviert.
Email-Würmer verwenden eine Reihe von Methoden, um infizierte E-Mails zu versenden. Die häufigsten sind:
Verwenden einer direkten Verbindung zu einem SMTP-Server mithilfe des E-Mail-Verzeichnisses, das in den Code des Wurms integriert ist
Verwenden von MS Outlook-Diensten
Verwenden von Windows MAPI-Funktionen.
Email-Würmer verwenden eine Reihe verschiedener Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:
das Adressbuch in MS Outlook
eine WAB-Adressdatenbank
.txt-Dateien, die auf der Festplatte gespeichert sind: Der Wurm kann feststellen, welche Zeichenfolgen in Textdateien E-Mail-Adressen sind
E-Mails im Posteingang (einige E-Mail-Würmer "antworten" sogar auf E-Mails im Posteingang)
Viele E-Mail-Würmer verwenden mehr als eine der oben aufgeführten Quellen. Es gibt auch andere Quellen für E-Mail-Adressen, z. B. Adressbücher für webbasierte E-Mail-Dienste.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails anmeldet und Win32-Anwendungen auf lokalen Computern und Netzwerkressourcen infiziert. Es verwendet die {"Win32.InvictusDLL": Win32_InvictusDLL} -Bibliothek, um Dateien zu infizieren.
Die Struktur infizierter Dateien sieht folgendermaßen aus:
� ====================== � � infiziert � � Datei-Host � � � � -------------------- �� ��polymorpher Code �� �� INVICTUS �� �� �� � + ------------------- + � ��body INVICTUS.DLL �� � + ------------------- + � ��Worm Körper �� �L -------------------- � L ===================== -
Wenn eine infizierte Datei gestartet wird, wird der Kontrollfluss an den polymorphen Code der INVICTUS-Bibliothek übergeben - entweder sofort, wenn der Einstiegspunkt des Programms direkt auf den Viruscode zeigt, oder abhängig von der Struktur des Hosts, wenn "Entry Point Obscuring " wurde benutzt. Dieser Code entschlüsselt und erstellt auf einem Datenträger die Bibliothek INVICTUS.DLL in einem Ordner% SYSTEM% und den Code des Wurms in einem Ordner% TEMP% mit einem zufälligen Dateinamen und startet dann den Wurm.
Die Wurmdatei ist eine Windows-Anwendung (PE-EXE-Datei) mit einer Länge von ungefähr 8 KB und ist in Assembler geschrieben.
Installation
Wenn der Wurm gestartet wird, installiert er sich selbst im System und aktiviert dann seine Routine zum Senden von E-Mail-Nachrichten und zum Infizieren von Win32-Dateien und der Nutzlast-Routine.
Während der Installation kopiert sich der Wurm in ein Windows-Verzeichnis mit dem Namen einer End-Datei und schreibt die folgenden Werte in SYSTEM.INI:[boot] shell = Explorer.exe% Wurmname% Dies geschieht, damit der Wurm beim Windows-Start nicht gestartet wird (nur in Windows 9x / ME).
Verbreitung
Der Wurm verwendet eine "ICQ White Pages" -Suchmaschine, um E-Mail-Adressen zu finden. Es sendet eine Suchabfrage an die Suchmaschine und extrahiert anschließend E-Mail-Adressen aus den Suchergebnissen (von einer HTML-Seite, die Suchergebnisse enthält). Die Wörter für die Suchanfrage werden aus der folgenden Liste ausgewählt:
MPB
Sex
Geschichte
mp3
Freunde
Flugzeug
Ferrari
Orgasmus
Freundschaft
Scheiße
Liebe
Sport
Party
Muschi
USA
Audio-
Der Wurm sendet infizierte Nachrichten an alle gefundenen E-Mails. Der Wurm verwendet eine direkte Verbindung zu einem SMTP-Server, der vom Wurm ausgewählt wird.
Infizierte Nachrichten enthalten einen leeren Textkörper und sein Betreff wird aus der folgenden Liste ausgewählt:
Bin Laden toillete Papier !!
Sadam Hussein & BinLaden IN LIEBE
Bush fickt Bin Laden kaum <: P
Ist Osama Bin Laden BAD-GELIEBT?
USA gegen Genfer Konvention?
Anthrax Mail ist wahr (kein Witz)
Biologische Waffen: Verhindern!
Ficken einen Mullah in Islamabad
O papel higienico do Bin Laden!
Sadam und BinLaden apaixonados
Bush fudendo Bin Laden <: P
Ser� que o Osama � malamado?
EUA agride convenção de genova?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
FuDendo um mehrere Islamabad
Bin Landet Toalettpapper
Sadam hussein & BinLaden �rf�r�lsk
ade Bush knullar Bin Laden h <rt <: P
Osr Osama Bin Laden in �lskad?
USAr USA emot Geneve �verenskom melsen?
Anthrax brevet existenar (detür inget skûmt)
Biologiska vapen: Fûrhindra!
Knulla en muslim i Islamabad
Papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Ziel?
Usa contre la convention de Genève?
Le courrier Anthrax existe vraiment
Arme Biologique: Préventions!
Baiser un Mullah � Islamabad
Xarti tualetas Bin Landen !!
Hussein & Bin Laden, ERASTEN
O Bush gamaei Agria Tonne Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikanische Enantia sto synedrio tis Genua?
H epistoles mich Antraka, einai Gegonos
Biologika wpla: Prostasie!
Gamontas ena Moula sto Islamabad
Name des Anhangs: BINLADEN_BRASIL.EXE
Der Wurm verwendet eine IFRAME-Sicherheitsverletzung in Microsoft Internet Explorer in seinen Nachrichten, sodass er möglicherweise automatisch gestartet wird, wenn eine infizierte Nachricht angezeigt wird.
Infizieren von Dateien auf lokalen Festplatten
Der Wurm infiziert folgende Dateien in einem Windows-Verzeichnis:
HH.EXE
NETSTAT.EXE
CALC.EXE
Außerdem findet der Wurm alle Programme im Windows-Applog (die meisten auf dem Computer gestarteten Anwendungen sind hier registriert) und infiziert sie. Dann findet der Wurm eine gestartete Kopie von EXPLORER.EXE, schließt sie und infiziert die Datei.
Infizierte Dateien auf Netzwerkressourcen
Der Wurm zählt Netzwerkressourcen (Remote-Festplatten und -Verzeichnisse) auf und stellt eine Verbindung zu ihnen her. Es versucht, sich mit einem zufälligen Dateinamen in die folgenden Verzeichnisse in Netzwerkressourcen zu kopieren:
SIEG
WIN2000
WIN2K
GEWINNT
WINDOWS
WINXP
und registriert sich in einem Remote-System, um automatisch mit Windows zu starten (nur Windows 9x / ME).
Payload-Routine
Abhängig vom zufälligen Zähler zieht der Wurm die folgende Zeichenkette eine zufällige Anzahl von Malen mit einer zufälligen Farbe:
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOTT SHIVA TUPA DIOS DEUS
und zeigt ein Meldungsfeld an:
Dann "schläft" der Wurm für 10 Sekunden und verschiebt den Inhalt des Bildschirms.
Andere
Der Wurm versucht, die folgenden Fenster zu finden und zu schließen:
Antivirales Toolkit Pro
AVP-Monitor
Norton Antivirus
Zonenalarm
Freiheit
Avconsol
McAfee VirusScan
Vshwin32
Der Wurm erstellt den folgenden Registrierungsschlüssel:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden
und legt seine Werte so fest, dass der vollständige Zugriff auf das Laufwerk C: von einem lokalen Netzwerk aus möglich ist.
Der Wurm löscht den folgenden Registrierungsschlüssel:
HKLMSystemCurrentControlSetServicesVxDNAVAP
und der folgende Registrierungswert:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect
Der Wurm schreibt alle zwischengespeicherten Netzwerkpasswörter in% WINDOWS% BinLaden.ini.
Der Wurm enthält folgenden Text:
Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, alle in #vxers
Und natürlich Osama Bin Laden. Halten Sie den guten Job mit Antrhax, Mann!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Codiert von NBK [MATRiX]
Jeder Brasilianer HATES USA ... Versuchen Sie einfach Amazon von uns zu bekommenMehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!