Détails techniques
C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original).
Envoyer des emails
Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont:
Objet: concernant la semaine dernière … Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible. Double-cliquez sur l'icône pour l'ouvrir. Joindre: c: silver.exe
Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont:
Sujet : Re: maintenant c'est une belle photo 🙂 Texte: Je pensais que vous pourriez être intéressé à la voir Joindre: naked.jpg.exe
Infecter les clients mIRC et PIRCH
Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté.
Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:).
Diffusion à travers le réseau local
Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture.
Installation dans le système
Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms:
dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR en C: lecteur racine: SILVER.EXE
Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun
Tous ces champs contiendront l'instruction:
"Rat d'argent" = WinDirsilver.exe
où "WinDir" est le nom du répertoire Windows.
Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre.
Affecter les clés de registre
Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type.
Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre – il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application:
shellopencommand shelleditcommand Shellplaycommand
Les clés de registre corrigées ressemblent à ceci:
HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%" HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%" HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"
où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous).
La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci:
accesshtmlfile iqyfile regedit fonfile
accessthmltemplate IVFfile regfile GatewayFile
AIFFFILE jpegfile SHCmdFile htafile
AllaireTemplate JSFile SoundRec icsfile
anifile ldap tgafile mhtmlfile
artfile mailto txtfile MMS
Aspfile mic VBSFile MMST
AudioCD MID Fichier wab_auto_file MMSU
aufile money Winamp.File NSM
AVIFile MOVFile WinRAR MSBD
Mallette MPEGFILE WinRAR.ZIP motiffile
cdafile MPlayer WinZip Msi.Package
Bavarder mscfile wrifile Msi.Patch
CSSfile msee WSFFile ofc.Document
curfile msgfile x-internet-inscription dex.Document
Drive MSProgramGroup xbmfile pjpegfile
DrWatsonLog Net2PhoneApp xmlfile PNM
Excel.Workspace NetscapeMarkup xnkfile qwb.Document
ftp nouvelles xslfile rtsp
giffile nntp m3ufile scpfile
fichier d'aide Notes.Link Fichier de script ASFFile
hlpfile ossfile ASXFile SSM
Perspectives htfile BeHostFile ThemeFile
htmlfile PBrush ChannelFile TIFImage.Document
http pcxfile chm.file ttffile
https pngfile CMCD WangImage.Document
icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc
icquser ramfile eybfile WIFImage.Document
Fichier RealMedia inifile fndfile WSHFile
Le ver stocke les clés d'origine dans l'autre clé de registre:
HKLMSoftwareSilver Rat
Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre.
Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé.
Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers:
USER.DA0 et SYSTEM.DA0 dans le répertoire Windows SYSTEM.1ST dans le répertoire racine du lecteur C:
"Désinstaller" la charge utile
Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation".
Le ver crée la clé "uninstall" dans le registre du système:
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat DisplayName = "Virus de rat argenté" UninstallString = "c: silver.exe / uninstall"
Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message:
Du sang "Je dois retourner quelques vidéos" – American Psycho
et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image).
Autres caractéristiques
Le ver recherche les applications antivirus actives et les termine par leurs noms:
Moniteur AVP Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT McAfee VirusScan Scheduler Alarme de zone WRQ NAMApp Class
Il recherche également les fichiers antivirus (bases de données) et les supprime:
* .AVC (AVP) * .DAT (NAI) BAVAP.VXD, NAVKRNLN.VXD (NAV)
Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.
|