Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь, поражает компьютеры под управлением MS Windows. Распространяется через сеть Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде эелектронного письма с вложенным EXE-файлом SETUP.EXE. Сообщение имеет заголовок (Subject) "Ok...", а само сообщение состоит только из символа улыбки:
:-)
Зараженный файл SETUP.EXE является исполняемым файлом около 40Кб длиной, написанном на языке программирования Microsoft C++. Большую часть исходного кода занимают библиотеки C++, а непосредственно сам червь занимает около 7Кб.
Червь получил свое название из-за строки в своем коде:
CH0LERA - Bacterium BioCoded by GriYo / 29A
Эта строка, как и все остальные данные червя зашифрованы.
Инталирование в систему
Сразу же после запуска червя (т.е. после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке Windows, червь добавляет команду "Run=" в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного рестра.
Для поиска директории Windows червь не использует соответствующие функции Windows. Вместо этого он сканирует все локальные диски на компьютере и ищет подкаталоги со следующими именами: WINDOWS, WIN95, WIN98, WIN, WINNT. При обнаружении такого каталога червь_ищет в ней файл WIN.INI. Если этот файл найден, червь инсталирует себя в этот каталог и регистрирует в файле WIN.INI или реестре.
Таким образом, червь может создать несколько своих копий на одном компьютере, поразив все установленные версии операционной системы Windows. Это означает, что в случае, если на компьютере установлена система загрузки нескольких версий Windows, то червь активизируется при запуске каждой из них.
Для сокрытия своей деятельности в момент своей инсталляци червь показывает диалоговое окно следующего содержания:
Setup
Cannot open file: it does not appear to be a valid archive.
If you downloaded this file, try downloading the file again.
[ OK ]"
Дальнейшее распространение
При следующем запуске Windows червь активизируется посредством команды "Run=" в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая - через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно.
Первая из подпрограмм обеспечивает распространение червя по локальной компьютерной сети. Она собирает информацию о всех сетевых дисках, ищет на них каталоги Windows и, в случае, если таковые обнаружены, копирует в них зараженный файл RCPSRV.EXE и регистрирует червя в файле WIN.INI или реестре. В результате, при следующей загрузке вместе с Windows на удаленном компьютере запускается и сам червь, готовый распространяться дальше.
Вторая подпрограмма посылает зараженные сообщения по электронной почте. Для этого червь использует протокол SMTP. Отличительная черта распространения червя по электронной почте состоит в том, что он рассылает себя, используя прямое соединение. Это определяет независимость способности червя к распространению от типа установленной на компьютере программы для обработки электронной почты.
Раз в шесть секунд эта подпрограмма определяет все активные программы и ищет среди них следующие приложения для работы с Интернет: Outlook, CuteFTP, Internet Explorer, Telnet, Mirc. Обнаружение любой из перечисленных программ дает червю основание полагать, что данный компьютер подключен к сети Интернет (это необходимо для используемого червем прямого SMTP соединения). Вслед за этим червь извлекает из системного реестра адрес SMTP сервера и адрес электронной почты зараженного компьютера. На основании этих данных он создает новое сообщение, содержащее вложенный инфицированный файл SETUP.EXE и отсылает его. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com