Email-Worm.VBS.Timofonica

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: VBS

VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.

Описание

Technical Details

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, устанавливает в систему троянский файл.

Рапространение

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма:

TIMOFONICA

Сообщение в письме:

Es de todos ya conocido el monopolio de Telefуnica pero no tan conocido los mйtodos que utilizу para llegar hasta este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con mбs informaciуn que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc. Tambiйn habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica tambiйn el por quй del fracaso en Holanda y quй hizo para adquirir el portal Lycos. En las direcciones web del documento existen temas relacionados para que echйis un vistazo a los comentarios, informes, documentos, etc. Como comprenderйis, esto es muy importante, y os ruego que reenviйis este correo a vuestros amigos y conocidos.

Имя прикрепленного файла:

TIMOFONICA.TXT.vbs

В зависимости от настроек системы настоящее расширение вложенного файла (".vbs") может быть не показано. В этом случае файл отображается как "TIMOFONICA.TXT".

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

Дополнительно, при отправке каждого сообщения червь посылает еще одно сообщение со случайным цифровым адресом на хост "correo.movistar.net", например "639867159@correo.movistar.net". Письмо имеет следующие характеристики:

Тема письма:

TIMOFONICA

Сообщение в письме:

informa que: Telefуnica te estб engaсando.

"correo.movistar.net" передает SMS сообщения на телефоны испанской сети MoviStar. Номер телефона определяется адресом электронной почты - в нашем примере это 639867159.

Червь посылает на случайные номера столько SMS сообщений, сколько адресов содержится в адресной книге MS Outlook.

Установка троянского файла

Для того, чтобы установить на компьютере троянскую программу, червь создает в системном каталоге Windows файл "Cmos.com" и записывает в него код, который хранится в теле червя.

Для автоматического запуска троянца червь добавляет в системный реестр ключ:

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com    

При очередном перезапуске Windows троянец автоматически получает управление, стирает информацию CMOS и таблицу логических разделов жесткого диска.

Червь создает на диске файл "C:TIMOFONICA.TXT" со следующим содержанием:

Commentarios
....Tarifa plana de 6000 pts/mes. Extorsi╨n. A principio de 1.998 tras un seguimiento de su gesti╨n se descubrieron numerosas irregularidades en su gesti╨n, amparadas hasta el momento, en el desconocimiento que nosotros tenэamos sobre Internet. Compras de materiales, que nunca apareci╨ por ning╥n lado, pero si la factura del proveedor. .... Yo pienso que si Timofonica (ke a fin de kuentas es la dueёa de Terra) kiere soltar dineros para una ONG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula la kantidad de un millon de pesetas .. Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekeёa subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho , todo lo ke g#ele a Telefonica SUX, o en castellano tradicional , APESTA ! ....

Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www2.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estas pсginas. Estсs inivitado.

Затем червь модифицирует системный реестр таким образом, чтобы этот файл отображался (с помощью программы Notepad) вместо запуска любого VBS-файла.

Чтобы восстановить нормальную функциональность VBS-файлов необходимо в командной строке ДОС-окна запустить следующую команду:

 WSCRIPT //H:WSCRIPT 

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com