Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: VBS
VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.Описание
Technical Details
Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.
При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из Интернет и устанавливает в систему троянский файл. Червь также способен распространяться через IRC-каналы.
Тело червя содержит комментарии:
barok -loveletter(vbe) < i hate go to school >
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
Рапространение
Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема письма: ILOVEYOU
Сообщение в письме: "kindly check the attached LOVELETTER coming from me".
Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs
При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.
Червь также инсталлирует себя в систему. Он создает в каталогах Windows файлы со своими копиями. Имена создаваемых файлов:
в каталоге Windows: WIN32DLL.VBS
в системном каталоге Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Затем червь записывает ссылки на эти файлы в секции автоматического запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
В результате червь активизируется при каждом перезапуске Windows.
Червь также создает в системном каталоге Windows свой HTML-дроппер:
LOVE-LETTER-FOR-YOU.HTM
Этот "дроппер" используется в дальнейшем при заражении IRC-каналов.
Установка троянского файла
Для того, чтобы установить на компьютере троянскую программу, червь модифицирует URL-ссылку стартовой страницы Internet Explorer. Новая ссылка указывает на троянский файл, расположенный на одном из четырех Web-сайтов в Интернете. Имя троянкого файла - WIN-BUGSFIX.EXE. Таким образом при очередном старте Internet Explorer скачивает троянца из Интернета.
Для автоматического запуска троянца червь добавляет в системный реестр ключ:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
При очередном перезапуске Windows троянец автоматически получает управление, копирует себя в системный каталог Windows под именем WINFAT32.EXE и затем отсылает с пораженного компьютера конфиденциальную информацию: IP-адрес и имя компьютера, сетевой login и пароли, RAS-информацию и т.п. Письма отсылаются на адрес "mailme@super.net.ph", заголовок отсылаемых писем такой:
Barok... email.passwords.sender.trojan
Червь затем (для скрытия активности троянца) обнуляет URL-ссылку стартовой страницы Internet Explorer (записывает туда "about:blank").
Распространение через IRC-каналы
Червь сканирует доступные диски и ищет на них файлы:
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP
Если хотя бы один из них найден, червь создает в том же каталоге управляющий скрипт-файл mIRC - SCRIPT.INI. Этот файл содержит mIRC-команды, которые посылают "дроппер" червя (файл LOVE-LETTER-FOR-YOU.TXT.HTM) всем пользователям, подключающимся к зараженному каналу.
Файл SCRIPT.INI содержит комментарии:
mIRC Script
Please dont edit this script... mIRC will corrupt, if mIRC will
corrupt... WINDOWS will affect and will not run correctly. thanks
Khaled Mardam-Bey
http://www.mirc.com
Когда пользователь канала mIRC получает этот HTML-файл, он (файл) автоматически копируется в специальный каталог mIRC, куда поступают все скачанные из канала файлы. Червь затем активизируется только в том случае, если пользователь сам откроет этот файл. При открытии HTML-файла срабатывает система защиты броузера, которая предупреждает о потенциально опасных командах в теле HTML-файла. Для того, чтобы пользователь разрешил использование опасных команд, червь использует трюки. Сначала он пытается обдурачить пользователя при помощи сообщения:
This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX
Если пользователь отвечает 'YES', червь получает полный доступ к дисковым файлам и инсталлирует себя в систему: создает VBS-файл со своим кодом в системном каталоге Windows. Имя этого VBS-файла - MSKERNEL32.VBS. Этот файл затем регистрируется в системном реестре как авто-запускаемый:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
Если пользователь отвечает 'NO', червь предпринимает второй трюк: он перехватывает все действия с мышью и клавиатурой и при любом из них перезапускает себя (то есть опять появляется предупреждение об опасной команде). В результете пользователь получает эти предупреждения до тех пор, пока не не нажмет 'YES' или не снимет задачу при помощи Alt-Ctrl-Del.
Уничтожение файлов
Червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия:
- VBS, VBE: записывает вместо них свою копию.
- JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и записывает в них свою копию.
- JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
- MP2, MP3: создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".
Варианты червя
Поскольку червь является скрипт-программой и распространяется в исходном виде (в виде текстовой скрипт-программы), его тело может быть легко модифицировано. В результате за одну неделю после появления первой версии червя появилось почти три десятка его модификаций. Большинство из них отличались лишь мелкими исправлениями: измененными оказались заголовок и тело письма, имена VBS-файлов, и т.п.
Ниже приведен неполный список характеристик писем в различных модификациях червя (первый блок принадлежит первой версии червя):
Тема письма / сообщение / имя прикрепленного файла -------------------------------------------------- ILOVEYOU kindly check the attached LOVELETTER coming from me. LOVE-LETTER-FOR-YOU.TXT.vbs Mothers Day Order Confirmation We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com mothersday.vbs fwd: Joke- no message body in message Very Funny.vbs Susitikim shi vakara kavos puodukui... kindly check the attached LOVELETTER coming from me. LOVE-LETTER-FOR-YOU.TXT.vbs Important ! Read carefully !! Check the attached IMPORTANT coming from me ! IMPORTANT.TXT.vbs Dangerous Virus Warning There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it. virus_warning.jpg.vbs How to protect yourself from the IL0VEY0U bug! Here's the easy way to fix the love virus. Virus-Protection-Instructions.vbs Thank You For Flying With Arab Airlines Please check if the bill is correct, by opening the attached file. ArabAir.TXT.vbs Bewerbung Kreolina Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs LOOK! hehe...check this out. LOOK.vbs Variant Test This is a variant to the vbs virus. IMPORTANT.TXT.vbs Yeah, Yeah another time to DEATH... This is the Killer for VBS.LOVE-LETTER.WORM. Vir-Killer.vbs I Cant Believe This!!! I Cant Believe I Have Just Recieved This Hate Email .. Take A Look! KillEmAll.TXT.vbs New Variation on LOVEBUG Update Anti-Virus!! There is now a newer variant of love bug. It was released at 8:37 PM Saturday Night. Please Download the fo llowing patch. We are trying to isolate the virus. Thanks Symantec. antivirusupdate.vbs IMPORTANT: Official virus and bug fix This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment. Bug and virus fix.vbs Recent Virus Attacks-Fix Attached is a copy of a script that will reverse the effect of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lituanian Siblings. BAND-AID.DOC.vbs PresenteUOL O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo. http://www.uol.com.br UOL.TXT.vbs BUG & VIRUS FIX I got this from our system admin. Run this to help pervent a ny recent or future bug & virus attack's. It may take a small while up update your files. MAJOR BUG & VIRUS FIX.vbs FREE SEXSITE PASSWORDS cHECK IT OUT ; FREE SEX SITE PASSWORDS. FREE SEXSITE PASSWORDS.HTML.vbs You May Win $1,000,000! 1 Click Away kindly check the attached WIN coming from me. WIN.vbs Virus Warnings !!! VERY IMPORTANT PLEASE READ THIS TEXT. TEXT ATTACHMENT. very-important-txt.vbs HOW TO BEAT VIRUSES kindly check the attached VIRUS INFORMATION coming from me. This is how you can be immune to any virus. It really helps alot! HOW_TO_BEAT_VIRUSES.TXT.vbs You must read this! Have you read this text? You must do it!! C:NOTES.TXT.exe New virus discovered! A new virus has been discovered! It's name is @-@Alha and Omega@-@. Full list of virus abilities is included in attached file @-@info.txt@-@. For the last information go to McAfee's web page Please forward this mesage to everyone you care about. info.txt.vbs Wish you were Here! Wish you were Here! Im having a great time! Wish you were Here!.postcard.vbs
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com