Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
C'est un virus-propagation qui se propage sous les systèmes Win32. Le virus infecte les fichiers exécutables Win32, tente d'envoyer des messages électroniques avec des fichiers joints infectés, et installe un composant de porte dérobée pour télécharger et générer des "plugins" sur un système affecté. Le ver a provoqué une épidémie mondiale de septembre à octobre 2000.
Le virus a une structure inhabituelle. Il se compose de trois composants différents qui s'exécutent en tant que programmes autonomes (Virus, Courrier électronique Worm et Backdoor). Le virus est le composant principal, et il maintient les programmes de ver et de porte dérobée dans son code sous forme compressée. En infectant le système, le virus les extrait et les engendre:
Structure du virus
� =============== - � Le virus � -> installe Worm et Backdoor sur le système, � installation � puis trouve et infecte les fichiers exécutables Win32 � et l'infection � � routines � � --------------- � � Le code de ver � -> est extrait dans un fichier et exécuté en tant que programme autonome � (compressé) � � --------------- � � Backdoor code � -> est extrait dans un fichier et exécuté en tant que programme autonome � (compresse) � L =============== -
Fichier EXE infecté
� =============== - � Code de fichier � � et données � � � � =============== � � Code de virus: � � --------------- � �� Installation�� �� et infection�� � + ------------- + � �� Ver �� � + ------------- + � �� Backdoor �� ----L -------------- � L =============== -
Le code du ver ne contient pas toutes les routines nécessaires pour infecter le système, étant envoyé en pièce jointe dans un message électronique infecté (voir ci-dessous). Le ver a besoin de "l'aide" du composant viral, et est envoyé comme infecté par le virus (le fichier ver est infecté par le virus en tant que fichier ordinaire puis envoyé). La raison d'une telle méthode n'est pas claire, mais probablement les composants ont été écrits par des personnes différentes.
Le composant Virus contient les chaînes de texte:
SABI�.b ViRuS
Logiciel fourni par [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Tous les gars VX dans #virus et Vecna pour nous aider
Visitez-nous à:
http://www.coderz.net/matrix
Le composant de ver contient les chaînes de texte:
Logiciel fourni par l'équipe [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Tous les gars de VX sur #virus channel et Vecna
Visitez-nous: www.coderz.net/matrix
La porte dérobée contient le texte:
Logiciel fourni par l'équipe [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 codes sources et idées
Le composant de virus
Le virus utilise la technologie "Entry Point Obscuring" lors de l'infection d'un fichier. Cela signifie que le virus n'affecte pas le fichier à son code d'entrée, mais place une instruction "Jump Virus" quelque part au milieu de la section de code de fichier pour rendre les procédures de détection et de désinfection plus complexes. Par conséquent, le virus est activé uniquement dans le cas où la branche d'un programme affecté correspondant reçoit le contrôle.
Le virus est également crypté, donc tout d'abord, il se décrypte lui-même lorsque son code prend le contrôle. Le virus recherche ensuite les fonctions de l'API Win32 nécessaires en analysant le noyau Win32. Pour ce faire, le virus essaie les adresses Win9x, WinNT et Win2000.
Le virus recherche ensuite les programmes anti-virus actifs dans le système et les quitte au cas où l'un d'eux serait détecté. La liste des programmes antivirus auxquels le virus porte attention est la suivante:
AntiViral Toolkit Pro
Moniteur AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central faire McAfee VirusScan
Ensuite, le virus installe ses composants sur le système. Ils sont décompressés installés dans le répertoire Windows puis générés. Trois fichiers sont créés et ils ont un ensemble d'attributs cachés et les noms suivants:
IE_PACK.EXE - code Worm pur
WIN32.DLL - Code du ver infecté par le virus (comme "Fichier infecté" ci-dessus)
MTX_.EXE - code de porte dérobée
Le virus infecte alors les fichiers exécutables PE EXE Win32 dans les répertoires courant, temporaire et Windows, puis quitte.
Ver
Pour envoyer des messages infectés, le ver utilise une technologie qui, pour la première fois, a été trouvée dans le ver Internet "Happy" (alias Happy99, alias SKA).
Le ver affecte le fichier WSOCK32.DLL dans le répertoire système Windows en ajoutant un composant de son code à la fin du fichier et en accrochant la routine "send" WSOCK32.DLL. Par conséquent, le ver surveille toutes les données envoyées d'un ordinateur affecté à Internet.
Généralement, le fichier WSOCK32.DLL est utilisé au démarrage du ver et il est verrouillé pour l'écriture. Pour éviter cela, le ver utilise une méthode standard: il crée une copie de l'original WSOCK32.DLL avec un nom WSOCK32.MTX, affecte cette copie et écrit ensuite "remplacer le fichier original par infecté" dans le fichier WININIT.INI:
NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX
où "C: WINDOWSSYSTEM" est le nom du répertoire système de Windows et peut différer selon le nom du répertoire Windows installé.
Au prochain redémarrage, le WSOCK32 infecté remplace le fichier d'origine et le ver accède aux données envoyées par la machine infectée. Le ver fait attention aux sites Internet (Web, ftp) qui sont visités ainsi qu'aux courriels envoyés depuis un ordinateur.
Le comportement très visible du virus est dû au fait qu'il empêche la possibilité de visiter plusieurs sites Internet, ainsi que de désactiver l'envoi de messages aux mêmes domaines (ce sont des noms de domaine antivirus). Le virus les détecte par des combinaisons de quatre lettres qui apparaissent comme suit:
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
Le ver ne permet pas non plus d'envoyer des messages électroniques à ces domaines:
wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
lien de terre. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
réussi*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *
Le ver intercepte également les messages électroniques qui sont envoyés et tente d'envoyer un message en double avec une pièce jointe infectée à la même adresse (le même que le ver "Happy"). En conséquence, une adresse de victime devrait recevoir deux messages: d'abord, le message original, écrit par un expéditeur; ensuite, un message avec un sujet et un texte vides et un fichier joint qui a un des noms sélectionnés par le ver en fonction de la date actuelle:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
En tant que fichier joint, le ver utilise le fichier WIN32.DLL qui a été supprimé par le composant viral.
Remarque: le ver ne supprime pas le fichier WIN32.DLL, mais utilise ce fichier pour le joindre aux messages envoyés. Ainsi, le "ver pur" n'est pas capable de se propager plus d'une fois: en cours d'exécution sur une machine victime, le ver infectera WSOCK32.DLL, mais ne pourra pas envoyer ses copies plus loin. Pour "résoudre ce problème", le ver envoie sa copie infectée (WIN32.DLL est un composant de ver infecté par un composant viral, voir ci-dessus).
La modification de ver connue a un bug dans sa routine d'étalement et dans de nombreux cas, le serveur de messagerie ne parvient pas à recevoir les messages affectés de la machine infectée. Malgré cela si le système dispose d'une connexion d'accès à distance, ou si le serveur de messagerie est assez rapide, le ver envoie ses copies sans problème.
Porte de derrière
En cours d'exécution, un composant Backdoor crée une nouvelle clé dans le registre système indiquant que la machine est déjà infectée:
HKLMSoftware [MATRIX]
Dans le cas où cette clé existe, la porte dérobée ignore la procédure d'installation. Sinon, il s'enregistre dans la section d'exécution automatique:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE
où% WinDir% est le répertoire Windows.
La porte dérobée reste ensuite active dans Windows en tant qu'application cachée (service) et exécute une routine qui se connecte à un serveur Internet, obtient des fichiers à partir de là et les génère dans le système. Ainsi, la porte dérobée peut infecter le système avec d'autres virus ou installer des programmes de Troie ou des backdoors plus fonctionnels.
Ce composant dans la version du virus connu a également un bogue qui provoque un message Windows standard sur une erreur dans l'application lorsqu'une porte dérobée tente d'accéder à un site Internet.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com