Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: VBS
VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.Описание
Technical Details
Этот интернет червь был обнаружен в середине июня 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.
При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, создает свои копии на сетевых дисках. Червь также способен распространяться через IRC-каналы.
Тело червя содержит комментарии:
'MIRC/NETWORK/OUTLOOK/PIRCH.ShellScrapWorm by SimpleSimon / Zulu
Рапространение
Червь попадает на компьютер в виде письма с прикрепленным SHS-файлом, который содержит в себе тело червя. SHS-файл есть Scrap Package Object, который может сожержать в себе объекты других типов а также активизировать (запускать) их. В этом случае SHS-файл содержит скрипт программу на языке Visual Basic Script, которая и является телом червя.
Тема зараженного письма может быть разной, т.к. она комбинируется из трех наборов строк:
"Fw: ", ""
"Life stages", "Funny", "Jokes"
" text", ""
Примеры:
Fw: Jokes
Life stages
Funny text
Сообщение в письме может быть пустым, либо одним их следующих:
>The male and female stages of life.
>The male and female stages of life. Bye.
Имя прикрепленного файла: LIFE_STAGES.TXT.SHS
В зависимости от настроек системы настоящее расширение вложенного файла (".SHS") может быть не показано. В этом случае файл отображается как "LIFE_STAGES.TXT".
При активизации (если пользователь открывает прикрепленный файл) содержащаяся в нем скрипт-программа запускается и червь получает управление.
Червь создает в каталоге временных файлов Windows тестовый файл и отображает его содержимое запустив текстовый редактор. Этот файл содержит текст:
- The male stages of life:
Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.
Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.
Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.
- The female stages of life:
Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.
Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.
Затем червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда сто случайно выбранных адресов из каждого списка адресов и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.
Червь также инсталлирует себя в систему. Он создает в каталогах Windows файлы со своими копиями. Имена создаваемых файлов:
в каталоге Windows: LIFE_STAGES.TXT.SHS
в системном каталоге Windows: MSINFO16.TLB
в Корзине (каталоге удаленных файлов): MSRCYCLD.DAT
Затем червь создает свои копии , присваивая им случайные имена, на всех локальных жестких дисках в корневой директории, а также в каталогах "Programs" и "MyDocuments". Если на сетевом диске существует Windows startup-каталог, червь копирует себя и туда.
Червь также оставляет файлы:
в системном каталоге Windows: SCANREG.VBS
червь записывает ссылку на этот файл в секцию автоматического запуска системного реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS"
червь создает копию этого файла в Корзине:
RCYCLDBN.DAT
в каталоге Windows: DBINDEX.VBS
червь записывает ссылку на этот файл в секцию ICQ системного реестра таким образом, чтобы он запускался при каждом запуске ICQ:
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Yes"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C:RECYCLEDDBINDEX.VBS"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C:WINDOWS"
червь создает копию этого файла в системном каталоге Windows:
VBASET.OLB
В результате червь активизируется при каждом перезапуске Windows или старте ICQ.
Распространение через IRC-каналы
Червь сканирует доступные диски и ищет на них файл MIRC.INI. Если такой файл найден, червь создает в том же каталоге файл SOUND32B.DLL, который содержит mIRC-команды, посылающие файл червя (файл LIFE_STAGES.TXT.SHS) всем пользователям, подключающимся к зараженному каналу. Затем ссылка на файл SOUND32B.DLL добавляется в секцию "rfiles" файла MIRC.INI.
Другие проявления
Червь переименовывает программу REGEDIT.EXE в RECYCLED.VXD а затем помещает ее в Корзину.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com