Kaspersky Threats — BadtransII

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

файловые;
загрузочные;
макровирусы;
скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также содержит в себе программу-"шпиона". Был обнаружен в ноябре 2001 года.

Червь является приложением Windows (PE EXE-файл), имеет размер около 29K упакован UPX, около 60K в распакованном виде). Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.

Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).

Заражение системы

При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.

Имя устанавливаемого файла-червя, каталог установки (Windows или WindowsSYSTEM) и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой очередного варианта червя. Все эти значения хранятся в конце зараженного файла в зашифрованном виде.

Прочие переменные значения, которые могут быть изменены:

имя DLL-шпиона
уничтожение исходного файла-червя после установки копии
предельный размер файла, в который записывается текст, введенный с клавиатуры

Рассылка писем

Для отсылки писем червь использует соединение с SMTP-сервером. Электронные адреса, по которым рассылаются письма, выделяются червем двумя способами:

Поиск строк-адресов в файлах *.HT* и *.ASP
MAPI-соединение с Входящими письмами и выделение из них электронных адресов

Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.

Поля сообщений следующие:

From: - либо "настоящий" адрес пользователя, либо один из вариантов:

" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
" Anna"
"JUDY"
"Tina"

При этом "настоящий адрес" слегка модифицируется: перед ним вставляется символ подчеркивания "_". Например, вот так будут преобразованы адреса:

"John K. Smith" "Vasja Pupkin"
"John K. Smith" <_john123@yahoo.com> "Vasja Pupkin" <_vasyap@rambler.ru>

Заголовок: - пустой, или "Re:", или "Re:" с присоединенным текстом, который червь выделяет из Заголовка сообщения (при чтении сообщений через MAPI, см.выше).

Тело письма: - пустое.

Вложение: случайная комбинация "filename + ext1 + ext2" где:

 "Filename":

 Pics      (or PICS )                  Card     (or CARD)
 images    (or IMAGES)                 Me_nude  (or ME_NUDE)
 README                                Sorry_about_yesterday
 New_Napster_Site                      info
 news_doc  (or NEWS_DOC)               docs   (or DOCS)
 HAMSTER                               Humor  (or HUMOR)
 YOU_are_FAT! (or YOU_ARE_FAT!)        fun    (or FUN)
 stuff                                 SEARCHURL
 SETUP                                 S3MSONG

 "ext1": .DOC .ZIP .MP3
 "ext2":  .scr, .pif

Например, "info.DOC.scr"

Червь не отсылает сообщения дважды на одинаковый адреса. Для этого он запоминает их в закодированном виде в файле PROTOCOL.DLL в системном каталоге Windows. Перед каждой отсылкой письма червь по этому файлу проверяет электронный адрес на его уникальность.

Троянец-шпион

Сохраняет украденную информацию в специальном файле (информация при этом шифруется) и периодически отсылает ее на один из случайно выбранных адресов.

Ниже приведен список этих адресов и почтовых серверов, через которые идет отсылка (email + server):

 ZVDOHYIK@yahoo.com               mx2.mail.yahoo.com
 udtzqccc@yahoo.com               mx2.mail.yahoo.com
 DTCELACB@yahoo.com               mx2.mail.yahoo.com
 I1MCH2TH@yahoo.com               mx2.mail.yahoo.com
 WPADJQ12@yahoo.com               mx2.mail.yahoo.com
 fjshd@rambler.ru                 mail5.rambler.ru
 smr@eurosport.com                mail.ifrance.com
 bgnd2@canada.com                 mail.canada.com
 muwripa@fairesuivre.com          fs.cpio.com
 rmxqpey@latemodels.com           inbound.latemodels.com.criticalpath.net
 eccles@ballsy.net                inbound.ballsy.net.criticalpath.net
 suck_my_prick@ijustgotfired.com  mail.monkeybrains.net
 suck_my_prick4@ukr.net           mail.ukr.net
 thisisno_fucking_good@usa.com    usa-com.mr.outblaze.com
 S_Mentis@mail-x-change.com       mail-fwd.rapidsite.net
 YJPFJTGZ@excite.com              mta.excite.com
 JGQZCD@excite.com                mta.excite.com
 XHZJ3@excite.com                 mta.excite.com
 OZUNYLRL@excite.com              mta.excite.com
 tsnlqd@excite.com                mta.excite.com
 cxkawog@krovatka.net             imap.front.ru
 ssdn@myrealbox.com               smtp.myrealbox.com

Варианты

24-го ноября "в диком виде" был обнаружен вариант червя, который имеет следующие характеристики:
инсталлирует себя в системный каталог Windows под именем KERNEL32.EXE и регистрирует в реестре:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe

Клавиатурный шпион под именем KDLL.DLL создается также в системном каталоге Windows. Лог информации ведется в файле CP_25389.NLS. Информация шифруется, в качестве ключа используется кеш строки "uckyjw@hotmail.com".

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!