Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Net-Worm
Net-Worms propagieren über Computernetze. Das Unterscheidungsmerkmal dieser Art von Wurm ist, dass keine Benutzeraktion erforderlich ist, um sich zu verbreiten.Diese Art von Wurm sucht normalerweise nach kritischen Schwachstellen in Software, die auf Computern im Netzwerk ausgeführt wird. Um die Computer im Netzwerk zu infizieren, sendet der Wurm ein speziell gestaltetes Netzwerkpaket (ein Exploit genannt) und als Folge dringt der Wurmcode (oder ein Teil des Wurmcodes) in den Opfercomputer ein und aktiviert ihn. Manchmal enthält das Netzwerkpaket nur den Teil des Wurmcodes, der eine Datei mit dem Hauptwurmmodul herunterlädt und ausführt. Einige Netzwerkwürmer verwenden mehrere Exploits gleichzeitig, um sich zu verbreiten und erhöhen so die Geschwindigkeit, mit der sie Opfer finden.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails bindet und sich über ein lokales Netzwerk in freigegebene Verzeichnisse kopiert und auch anfällige IIS-Computer (Websites) angreift. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von ca. 57 KB und ist in Microsoft C ++ geschrieben.
Um von einer infizierten Nachricht zu starten, nutzt der Wurm eine Sicherheitsverletzung. Der Wurm installiert sich dann selbst im System und führt eine Spreizroutine und Nutzlast aus.
Der Wurm enthält die folgende "copyright" Textzeichenfolge:
Konzeptvirus (CV) V.5, Copyright (C) 2001 RPChina
Installieren
Während der Installation kopiert sich der Wurm selbst:
in das Windows-Verzeichnis mit dem Namen MMC.EXE
in das Windows-Systemverzeichnis mit RICHED20.DLL (und überschreibt ursprüngliche Windows RICHED20.DLL-Datei) und mit dem Namen LOAD.EXE.
Das letzte wird dann in dem Auto-run-Abschnitt in einer Datei SYSTEM.INI registriert:
[boot] shell = explorer.exe load.exe -dontrunold
Der Wurm kopiert sich auch in ein temporäres Verzeichnis mit zufälligen MEP * .TMP und MA * .TMP.EXE Namen, zum Beispiel:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
EXE-Dateien haben Versteckte und Systemattribute sowie eine LOAD.EXE-Datei (siehe oben).
Der Wurm führt dann seine Verbreitungs- und Nutzlastroutinen aus. Abhängig von der Windows-Version beeinflusst der Wurm den EXLORER.EXE-Prozess und kann seine Routinen als Hintergrundprozess (Thread) eines EXPLORERS ausführen.
Verbreitung per E-Mail
Um infizierte Nachrichten zu senden, stellt der Wurm mithilfe des SMTP-Protokolls eine Verbindung zu einem Hostcomputer her und sendet seine Kopien an die Opferadressen.
Um Wurm-E-Mail-Adressen zu erhalten, verwendet der Wurm zwei Möglichkeiten:
1. Scannt * .HTM- und * .HTML-Dateien und sucht nach E-Mail-ähnlichen Strings
2. stellt mithilfe von MAPI eine Verbindung zu MS Exchange-E-Mail-Boxen her und ruft von dort E-Mail-Adressen ab.
Die infizierten Nachrichten sind im HTML-Format und enthalten:
Betreff: leer oder zufälligThemen werden aus dem Namen einer zufällig ausgewählten Datei aus einem Ordner ausgewählt:
Körper: leer
Anhängen: README.EXE
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
Normalerweise ist dies "Meine Dokumente" oder eine zufällig ausgewählte Datei auf dem Laufwerk C:.
Um sich von infizierten Nachrichten zu verbreiten, benutzt der Wurm einen "IFRAME" -Trick; die beschriebene Sicherheitslücke bei:
Microsoft Security Bulletin (MS01-020): Falscher MIME-Header kann dazu führen, dass IE E-Mail-Anhang ausführt http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Patch herunterladen:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Was verursacht die Sicherheitsanfälligkeit?
Wenn eine HTML-Mail einen ausführbaren Anhang enthält, dessen MIME-Typ fälschlicherweise als einer von mehreren ungewöhnlichen Typen angegeben ist, führt ein Fehler im IE dazu, dass der Anhang ausgeführt wird, ohne dass ein Warndialog angezeigt wird.
Was macht der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem die Tabelle der MIME-Typen und die zugehörigen Aktionen in IE korrigiert werden. Dies verhindert, dass E-Mails ausführbare Anhänge automatisch starten können.
Verbreitung über das lokale Netzwerk
Der Wurm scannt lokale und freigegebene (zugeordnete) Remote-Laufwerke auf drei verschiedene Arten und infiziert alle zugänglichen Verzeichnisse dort.
Während der Infektion verwendet der Wurm zwei verschiedene Arten:
1. Es erstellt .EML (95% der Zeit) oder .NWS (5%) Dateien mit zufällig gewählten Namen. Daher befinden sich diese EML- und NWS-Dateien überall auf einem infizierten Computer (und im lokalen Netzwerk), und es kann Tausende von ihnen geben. Diese Dateien enthalten die Kopie des Wurms im E-Mail-Format.
Das E-Mail-Formular ist eine HTML-E-Mail-Nachricht mit der Wurmkopie in einem MIME-Umschlag und mit einem IFRAME-Trick wie oben beschrieben. Beim Öffnen infiziert diese Nachricht sofort eine anfällige Maschine.
2. Der Wurm sucht nach Kombinationen aus Dateiname und Erweiterung:
* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP
(* NAME * bedeutet, dass eine Unterzeichenfolge im Dateinamen sein kann)
Falls eine solche Datei gefunden wird, kopiert sich der Wurm in E-Mail-Form mit dem Namen README.EML dorthin und hängt an die HTM / ASP-Datei eines Opfers ein JavaScript-Programm an, das einfach die README.EML-Datei beim HTML / ASP öffnet Datei wird geöffnet, wodurch der Wurm aktiviert wird.
Infolgedessen infiziert der Wurm Webseiten und kann sich auf Computer verbreiten, die diese Websites besuchen.
Verbreitung als IIS-Angriff
Um seine Datei auf den Computer eines Opfers hochzuladen, verwendet der Wurm einen "tftp" -Befehl und aktiviert einen temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um den "get data" -Befehl von der (entfernten) Maschine des Opfers genau zu verarbeiten So wie der {"BlueCode": IISWorm_BlueCode} IIS Wurm.
Der Name der Datei, die auf den Computer eines Opfers hochgeladen wird, lautet ADMIN.DLL.
Payloads
Die Nutzlast-Routine fügt der Administrator-Benutzergruppe den Benutzer "Gast" hinzu (daher hat ein Gast-Benutzer vollen Zugriff auf eine infizierte Maschine).
Der Wurm öffnet auch alle lokalen Laufwerke für die Freigabe.
Es gibt verschiedene Varianten des Wurms "Nimda".
Sie alle sind dem Original sehr verschlossen, und die meisten von ihnen sind nur eine "gepatchte" Version des ursprünglichen Wurms - die Textstrings im Wurmkörper werden durch andere Zeichenketten ersetzt.
Nimda.b
Dies ist der originale "Nimda" -Wurm, jedoch komprimiert von einem PCShrink Win32 PE EXE-Dateikompressor. Die Saiten:
werden ersetzt durch:
Nimda.c
Dies ist genau der ursprüngliche "Nimda" -Wurm, obwohl er von einem UPX-Kompressor komprimiert wurde.
Nimda.d
Diese Variante des Wurms wurde Ende Oktober 2001 an das Internet verschickt. Sie wurde in komprimierter Form (PECompact compressor) verbreitet, und diese Form ist 27K groß.
Der einzige Unterschied zum ursprünglichen Wurm sind die "copyright" -Textzeichenfolgen, die in dieser Version mit dem folgenden Text gepatcht werden:
Holocaust-Virus.! V.5.2 von Stephan Fernandez.Spain
Nimda.e
Dies ist eine neu kompilierte "Nimda" -Variante, und es gibt mehrere kleinere Routinen, entweder leicht korrigiert und / oder optimiert. Diese Variante wurde Ende Oktober 2001 in freier Wildbahn gefunden.
Die sichtbaren Unterschiede zur ursprünglichen Wurm-Version sind:
Der angehängte Dateiname:
SAMPLE.EXE (anstelle von README.EXE)
Die DLL-Dateien sind:
HTTPODBC.DLL und COOL.DLL (anstelle von ADMIN.DLL)
Der Text "Copyright" wird ersetzt durch:
Konzeptvirus (CV) V.6, Copyright (C) 2001, (Dieser Lebenslauf, kein Nimda.)
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com