Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: VBS
VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.Описание
Technical Details
Этот червь распространяется по Интернет в письмах электронной почты. Зараженные письма не имеют прикрепленных файлов - червь использует несколько приемов для запуска своего кода прямо из текста письма. Когда пользователь открывает письмо чтобы его прочесть, червь активизируется, получает доступ к ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма (Таким же образом, как это делает вирус "Macro.Word97.Melissa").
Это первый известный интернет-червь, который распространяется в письмах без присоединенных к письму файлов. В ранее известных, пользователь должен был открыть присоединенный к письму файл, чтобы код червя активизировался. Этот же червь активизируется в момент, когда пользователь открывает само письмо.
Используемые приемы
Чтобы распространять свои копии червь использует два нестандартных приема. Первый прием - червь использует возможность MS Outlook создавать письма в формате HTML. Письма в этом формате могут содержать скрипты, которые будут автоматически выполнены в момент, когда пользователь откроет письмо.
Червь использует это, чтобы активизироваться сразу при открытии письма.
Другой прием червь использует, чтобы обойти настройки безопасности в Internet Explorer. Для этого он использует уже известную брешь в защите Internet Explorer 5.0, называемую "Scriptlet.Typelib security vulnerability".
Эта брешь дает возможность скриптам создавать файлы на диске без каких-либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл (HTML-приложение, новый тип появившийся в IE5), который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и как следствие запускается при следующем старте Windows. Будучи запущеным из файла на локальном диске компьютера червь получает доступ к ресурсам компьютера, берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма.
Технические детали
Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл "UPDATE.HTA" в каталоге "C:WINDOWSSTART MENUPROGRAMSSTARTUP". Такой же файл червь пытается создать и в каталоге "C:WINDOWSMENU INICIOPROGRAMASINICIO" (Имя каталога автозагрузки для испанской версии Windows).
Этот файл "UPDATE.HTA" содержит основной код червя. При следующем старте Windows этот файл будет исполнен так как он находится в каталоге автозагрузки. Червь имеет небольшую ошибку: он предполагает что Windows всегда установлена в каталоге C:WINDOWS, и если это не так, червь не может создать файл и как следствие не может далее размножаться.
Когда код червя в файле "UPDATE.HTA" получает управление, он запускает программу Outlook со скрытым окном и создает в ней письма адресованные всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма в формате HTML и включает в них свой скрипт. Созданные письма имеют тему "BubbleBoy back!", и текст письма:
The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm
После того как письма были отправлены, чтобы исключить повторную отправку писем, червь создает в системном реестре новый ключ:
"HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 by Zulu"
В конце червь оставляет на экране окно с сообщением:
System error, delete "UPDATE.HTA" from the startup folder to solve this problem.
Червь также меняет данные регистрации Windows (эта процедура выполняется в момент когда скрипт в UPDATE.HTA получает управление):
RegisteredOwner = "BubbleBoy" RegisteredOrganization = "Vandelay Industries"
Защита
Компанния Microsoft выпустила дополнение которое устраняет брешь в защите ("Scriptlet.Typelib" security vulnerability). Мы рекомендуем Вам посетить http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить это дополнение.
Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, есть еще один способ обезопасить себя от вирусов, использующих "Scriptlet.Typelib" security vulnerability. Для этого надо удалить ассоциацию к расширению .HTA Чтобы сделать это нужно выполнить следующие действия:
1. Открыть окно "My Computer(Мой компьютер)" дважды щелкнув на значке "My Computer(Мой компьютер)" на рабочем столе.
2. В меню выбрать пункт "View(Вид)" -> "Options...(Параметры...)".
3. На закладке "File Types(Типы файлов)" в списке "Registered file types (Зарегистрированные типы файлов)" выбрать "HTML Applicaton".
4. Щелкнуть на кнопке "Remove(Удалить)" и подтвердить действие.
5. Закрыть диалоговое окно настроек.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com