Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Net-Worm
Net-Worms se propagent via des réseaux informatiques. La caractéristique distinctive de ce type de ver est qu'il ne nécessite pas d'action de l'utilisateur pour se propager. Ce type de ver recherche généralement les vulnérabilités critiques des logiciels s'exécutant sur les ordinateurs en réseau. Afin d'infecter les ordinateurs sur le réseau, le ver envoie un paquet réseau spécialement conçu (appelé exploit) et par conséquent le code du ver (ou une partie du code du ver) pénètre dans l'ordinateur de la victime et l'active. Parfois, le paquet réseau contient uniquement la partie du code de ver qui va télécharger et exécuter un fichier contenant le module de ver principal. Certains vers de réseau utilisent simultanément plusieurs exploits pour se propager, augmentant ainsi la vitesse à laquelle ils trouvent des victimes.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
Il s'agit d'un virus qui se propage via Internet relié à des e-mails infectés, et se copie dans des répertoires partagés sur un réseau local, et attaque également les machines IIS vulnérables (sites Web). Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko, écrit en Microsoft C ++.
Pour s'exécuter à partir d'un message infecté, le ver exploite une faille de sécurité. Le ver s'installe ensuite dans le système et exécute une routine d'étalement et une charge utile.
Le ver contient la chaîne de texte "copyright" suivante:
Virus Concept (CV) V.5, Copyright (C) 2001 RPChina
Installation
Lors de l'installation, le ver se copie:
dans le répertoire Windows avec le nom MMC.EXE
dans le répertoire système Windows avec RICHED20.DLL (et remplace le fichier original Windows RICHED20.DLL) et avec le nom LOAD.EXE.
Le dernier est ensuite enregistré dans la section d'exécution automatique dans un fichier SYSTEM.INI:
[boot] shell = explorer.exe load.exe -dontrunold
Le ver se copie également dans un répertoire temporaire avec des noms MEP * .TMP et MA * .TMP.EXE aléatoires, par exemple:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
Les fichiers EXE ont des attributs Hidden et System, ainsi qu'un fichier LOAD.EXE (voir ci-dessus).
Le ver exécute alors ses routines d'étalement et de charge utile. Selon la version de Windows, le ver affecte le processus EXLORER.EXE et peut exécuter ses routines en tant que processus d'arrière-plan (thread) EXPLORER.
Diffusion par courrier électronique
Pour envoyer des messages infectés, le ver se connecte à une machine hôte en utilisant le protocole SMTP et envoie ses copies aux adresses des victimes.
Pour obtenir des adresses de messagerie de victimes, le ver utilise deux méthodes:
1. analyse les fichiers * .HTM et * .HTML et recherche des chaînes de type courrier électronique
2. en utilisant MAPI, se connecte aux boîtes de messagerie MS Exchange et obtient des adresses de messagerie à partir de là.
Les messages infectés sont au format HTML et contiennent:
Sujet: vide ou aléatoireLes sujets sont choisis à partir du nom d'un fichier sélectionné au hasard dans un dossier:
Corps: vide
Joindre: README.EXE
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonnel
Généralement, il s'agit de "Mes documents" ou d'un fichier sélectionné au hasard sur le lecteur C :.
Pour se propager à partir de messages infectés, le ver utilise un astuce "IFRAME"; la vulnérabilité décrite à:
Bulletin de sécurité Microsoft (MS01-020): Un en-tête MIME incorrect peut provoquer l'exécution d'une pièce jointe à un courrier électronique par E-mail http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Patch de téléchargement:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Quelles sont les causes de la vulnérabilité?
Si un courrier HTML contient une pièce jointe exécutable, dont le type MIME est incorrectement donné comme l'un des types inhabituels, une faille dans IE entraînera l'exécution de la pièce jointe sans afficher un dialogue d'avertissement.
Que fait le patch?
Le correctif élimine la vulnérabilité en corrigeant la table des types MIME et leurs actions associées dans IE. Cela a pour effet d'empêcher les e-mails de lancer automatiquement des pièces jointes exécutables.
Répartir via le réseau local
Le ver scanne les lecteurs distants locaux et partagés (mappés) de trois manières différentes et infecte tous les répertoires accessibles.
En infectant, le ver utilise deux manières différentes:
1. Il crée des fichiers .EML (95% du temps) ou .NWS (5%) avec des noms choisis au hasard. Par conséquent, ces fichiers EML et NWS sont partout sur une machine infectée (et dans le réseau local), et ils peuvent être des milliers. Ces fichiers contiennent la copie du ver sous forme de courrier électronique.
Le formulaire de courrier électronique est un message électronique HTML avec la copie du ver dans une enveloppe MIME et avec une astuce IFRAME comme décrit ci-dessus. À l'ouverture, ce message infecte immédiatement une machine vulnérable.
2. Le ver recherche les combinaisons de noms de fichiers et d'extensions:
* DEFAUT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP
(* NAME * signifie qu'il peut s'agir d'une sous-chaîne dans le nom du fichier)
Dans le cas où un tel fichier est trouvé, le ver se copie sous forme e-mail avec le nom README.EML et ajoute au fichier HTM / ASP d'une victime un programme JavaScript qui ouvre simplement le fichier README.EML lorsque le fichier HTML / ASP Le fichier est en cours d'ouverture, ce qui active le ver.
Par conséquent, le ver infecte les pages Web et peut se propager aux ordinateurs qui visitent ces sites Web.
Diffusion en tant qu'attaque IIS
Pour télécharger son fichier sur la machine d'une victime, le ver utilise une commande "tftp" et active un serveur TFTP temporaire sur une machine infectée (actuelle) pour traiter la commande "get data" de la machine (distante) de la victime manière comme {{"BlueCode": IISWorm_BlueCode} ver IIS.
Le nom du fichier téléchargé sur l'ordinateur d'une victime est ADMIN.DLL.
Charges utiles
La routine de charge utile ajoute un utilisateur "invité" au groupe d'utilisateurs administrateur (en conséquence, un utilisateur "invité" a un accès complet à une machine infectée).
Le ver ouvre également tous les lecteurs locaux à partager.
Il existe plusieurs variantes du ver "Nimda".
Tous sont très fermés à l'original, et la plupart d'entre eux sont juste une version "corrigée" du ver original - les chaînes de texte dans le corps du ver sont remplacées par d'autres chaînes).
Nimda.b
C'est le ver "Nimda" original, cependant compressé par un compresseur de fichiers PCShrink Win32 PE EXE. Les cordes:
sont remplacés par:
Nimda.c
C'est exactement le ver "Nimda" d'origine bien que compressé par un compresseur UPX.
Nimda.d
Cette variante du ver a été postée sur Internet fin octobre 2001. Elle a été diffusée sous forme compressée (compresseur PECompact) et ce formulaire a une taille de 27K.
La seule différence avec le ver original est les chaînes de texte "copyright" qui sont patchées dans cette version avec le texte suivant:
HoloCaust Virus.! V.5.2 par Stephan Fernandez.Spain
Nimda.e
C'est une variante "Nimda" recompilée, et il y a plusieurs routines mineures soit légèrement fixes et / ou optimisées. Cette variante a été découverte à l'état sauvage à la fin d'octobre 2001.
Les différences visibles par rapport à la version originale du ver sont:
Le nom de fichier joint:
SAMPLE.EXE (au lieu de README.EXE)
Les fichiers DLL sont:
HTTPODBC.DLL et COOL.DLL (au lieu de ADMIN.DLL)
Le texte "copyright" est remplacé par:
Virus Concept (CV) V.6, Copyright (C) 2001, (Ceci est CV, No Nimda.)
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com