Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
C'est un ver Internet qui se propage aux messages électroniques. Le ver fonctionne uniquement sous les systèmes Win32. Le ver contient des composants (plugins) dans son code qui sont exécutés en fonction des besoins du ver, et ces composants peuvent être mis à jour à partir d'un site Web Internet.
Les principales versions de ver sont cryptées avec une boucle de cryptage semi-polymorphique.
Le ver contient les chaînes de texte:
HYBRIS
(c) Vecna
Les cycles de vers
La principale cible de ver sur un ordinateur est la bibliothèque WSOCK32.DLL. En infectant ce fichier, le ver:
- écrit lui-même à la fin de la dernière section de fichier
- crochets "connect", "recv", et "envoyer" des fonctions
- modifie l'adresse de routine d'entrée DLL (une routine qui est activée lors du chargement d'un fichier DLL) et crypte la routine d'entrée d'origine
Si le ver n'est pas capable d'infecter WSOCK32.DLL (au cas où il est utilisé et est verrouillé pour l'écriture), le virus crée une copie de cette bibliothèque (une copie de WSOCK32.DLL avec un nom aléatoire), l'infecte et écrit un Renommez l'instruction au fichier WININIT.INI. Par conséquent, WSOCK32.DLL sera remplacé par une image infectée lors du prochain démarrage de Windows.
Le ver crée également sa copie avec un nom aléatoire dans le répertoire système Windows et l'enregistre dans la clé de Registre RunOnce:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName
ou
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Par défaut} =% WinSystem% WormName
où% WinSystem% est le répertoire système de Windows, et "WormName" est un nom aléatoire de huit symboles, par exemple:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
Il n'y a qu'une seule raison possible d'enregistrer une copie de ver supplémentaire dans la clé de registre "RunOnce": dans le cas où WSOCK32.DLL n'a pas été infecté lors du premier ver, et sa copie infectée n'a pas été créée pour une raison quelconque la copie terminera la tâche lors du prochain redémarrage de Windows.
WSOCK32.DLL infecté
Le ver intercepte les fonctions Windows qui établissent une connexion réseau, y compris Internet. Le ver intercepte les données qui sont envoyées et reçues, et les analyse pour les adresses e-mail. Lorsqu'une / des adresse (s) est (sont) détectée (s), le ver attend pendant un certain temps et envoie un message infecté à cette / ces adresse (s).
Plugins
La fonctionnalité du ver dépend des plugins qui sont stockés dans un corps de ver crypté avec un algorithme de chiffrement fort de type RSA avec une clé de 128 bits. Il y a jusqu'à 32 plugins qui peuvent être trouvés dans différentes versions de ver. Ces plugins effectuent différentes actions qui peuvent être mises à jour à partir d'une page Web:
http://pleiku.vietmedia.com/bye/
donc la fonctionnalité complète du ver ne dépend que de son hôte capable de mettre à jour les plugins sur une page Web. Les plugins sur une page sont cryptés avec une crypto similaire à RSA.
Le ver met également à jour ses plugins en utilisant le groupe de discussion alt.comp.virus. Le ver, actif sur une machine, se connecte à un serveur de news (en utilisant un des serveurs sélectionnés au hasard - il y a plus de 70 adresses dans la liste), convertit ses plugins en messages de newsgroups et les poste là. Les messages du ver ont un objet de type aléatoire, par exemple:
encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
texte RFRE rebibmTCDOzGbCjSZ
où les quatre premières corvées sont plugin "nom" et après quatre corvées sont une version "plugin" encodée. En plus de l'envoi, le ver lit ces messages depuis alt.comp.virus, obtient le plugin "name" et "version" et les compare avec les plugins actuellement utilisés par le ver. Dans le cas où le groupe de discussion a un message avec une version plus élevée du plugin, le ver l'extrait et remplace celui existant. Le ver utilise donc alt.comp.virus pour mettre à jour ses plugins.
Le ver crée également ces plugins en tant que fichiers disque dans le répertoire système de Windows. Ils ont aussi un nom aléatoire, mais le ver continue à pouvoir y accéder. Les noms peuvent ressembler à ceci:
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA
Il existe plusieurs plugins connus qui:
1. Infecter toutes les archives ZIP et RAR sur tous les lecteurs disponibles de C: à Z :. Lors de l'infection, le ver renomme les fichiers EXE dans l'archive avec une extension .EX $ et ajoute sa copie avec une extension .EXE à l'archive (méthode d'infection associée).
2. Envoyez des messages avec des plugins encodés au groupe neews "alt.comp.virus", et obtenez de nouveaux plugins à partir de là.
3. Répandez le virus sur les machines distantes auxquelles est installé un cheval de Troie de porte dérobée SubSeven. Le plugin détecte de telles machines sur le Net, et en utilisant les commandes SubSeven, télécharge une copie de ver sur la machine et l'engendre là-dedans.
4. Chiffrez les copies de ver avec une boucle de chiffrement polymorphe avant d'envoyer la copie jointe à un courrier électronique.
5. En fonction de la date et de l'heure du système (les 16 et 24 septembre et à 59 minutes de chaque heure à partir de l'année 2001 - dans les plugins connus), l'effet "spirale" est exécuté.
Le plugin crée un nom .EXE aléatoire de 8 octets dans le répertoire système Windows, décompresse le code EXE "effet spirale" et enregistre ce fichier dans le système:
sous Win9x: dans le fichier WIN.INI dans [windows] "run =" ligne sous WinNT: dans le registre système dans "Run =" clé
6. Affecte les fichiers DOS EXE et Windows PE EXE. Le ver les affecte de sorte qu'ils deviennent des compte-gouttes de ver. Quand ils sont lancés, ils déposent le fichier EXE du ver dans le répertoire TEMP et l'exécutent.
Tout en affectant DOS fichier EXE, le plugin ajoute le code du compte-gouttes et le corps de ver à la fin du fichier. Ces fichiers sont désinfectables.
En affectant le fichier EXE de Windows PE, le plugin remplace la section de code de fichier pour obtenir un espace pour le code de ver, et écrit le code du compte de vers à cet espace (si sa taille est suffisante). Le plugin ne touche pas l'en-tête du fichier (y compris l'adresse du point d'entrée) et n'augmente pas la taille du fichier. En outre, il a une routine anti-CRC (chechsum) qui remplit des données spéciales dans le code de plugin de sorte que le CRC de fichier devient le même pour peu d'algorithmes de CRC couramment utilisés. Cela signifie que certains vérificateurs d'intégrité ne détecteront pas les modifications dans les fichiers concernés: la longueur du fichier et le CRC du corps de fichier restent les mêmes que sur un fichier propre.
Lorsque ce fichier EXE PE est exécuté, le code du dropper supprime et active le ver, puis restaure (décompresse) la section de code et renvoie le contrôle au fichier hôte.
7. Sélectionnez aléatoirement un objet, un texte de message et un nom joint lors de l'envoi des copies de ver avec des messages électroniques:
De:
Hahaha [hahaha@sexyfun.net]
Sujets:
Snowhite et les sept nains - L'histoire vraie!
Branca de Neve porn�!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Textes de message:
C'etait un jour avant son huit huitieme anniversaire. Les 7 nains, qui ont aidé à 'blanche neige' toutes ces années après qu'elle soit enfuit de chez sa belle mère, lui a offert une * grosse * surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin ...
Aujourd'hui, Snowhite avait 18 ans. Les 7 nains étaient toujours très instruits et polis avec Snowhite. Quand ils sortent travailler à Mornign, ils ont promis une * énorme * surprise. Snowhite était anxieux. Soudain, la porte s'ouvre et les Sept Nains entrent ...
Faltaba apenas un dia para suiversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada pour los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos ...
Faltava apenas um dia para our aniversario de 18 anos. Branca de Neve estva muito feliz e ansiosa, porque os 7 ans prometam uma * grande * surpresa. Comme cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem ... Os sete an�ezinhos tinham um estranho brilho no olhar ...
Joindre des noms:
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exesexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exeblancheneige.exe
sexynain.scr
blanche.scr
nains.exebranca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr
Ainsi que (selon la version du plugin):
Le message Sujet est une combinaison aléatoire de:
Anna + sexe Raquel Darian sexy Xena chaud Xuxa le plus chaud Suzete cum éjaculation célèbre viol célébrité cornée cuir ... etc
Joindre le nom:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
célébrité rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe
Le nom de fichier joint peut également être un nom .EXE aléatoire huit octets, par exemple:
ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com