Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также внедряет свою компоненту внутрь исполняемых Win32 PE EXE-файлов. Червь активно противодействует антивирусным программам. Червь является приложением Windows (PE EXE-файл), имеет размер 45056 байт написан на языке Assembler. Программа содержит зашифрованные строки текста:
[WORM.SWEDENSUX] Coded by Uncle Roger in Hфrn?sand,
Sweden, 03.03. I am being discriminated by the swedish
schoolsystem. This is a response to eight long years of
discrimination. I support animal-liberators worldwide.
Зараженные письма содержат:
Служебные строки, могут не показываться почтовыми клиентами:
--part1 Content-type: multipart/alternative; boundary="part2" --part2 Content-type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Myzli! --part2 Content-type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Текст письма --part2-- --part1 Content-type: application/octet-stream Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="xx.scr"
Заголовок и текст выбираются из списка 10 вариантов на шведском языке и 10 вариантов на английском языке в зависимости от текущего установленного языка.
Варианты на шведском языке:
Вариант 1:
Заголовок: =?iso-8859-1?Q?Olaglig_sk=E4rmsl=E4ckare=3F?= Текст: Hej! Min son visade mig denna sk=E4rmsl=E4ckare som jag misst=E4nker kan = bryta mot lagen om hets mot folkgrupp. Eftersom du =E4r verksam som = jurist, s=E5 vore jag tacksam f=F6r en fackmans syn p=E5 saken. Tack = p=E5 f=F6rhand.
Вариант 2:
Заголовок: Rashets eller inte? Текст: Hejsan! Min datal=E4rare gjorde mig uppm=E4rksam p=E5 att denna = sk=E4rmsl=E4ckare m=F6jligen kan t=E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller in, eftersom jag hade t=E4nkt anv=E4nda den p=E5 = min skoldator. B=F6r jag att forts=E4tta att anv=E4nda den? Svara helst = snarast. Tack p=E5 f=F6rhand.
Вариант 3:
Заголовок: Hakkors. Текст: Hej! Min klassf=F6rest=E5ndare gick i taket n=E4r hon fick se = sk=E4rmsl=E4ckaren som jag har anv=E4nt under tv=E5 terminer. Hon = anklagade mig f=F6r antisemitism eftersom den ibland visar ett hakkors. =' Tycker du att jag b=F6r acceptera detta fr=E5n henne? Vore tacksam f=F6r = ett utl=E5tande fr=E5n dig. Svara helst s=E5 snart det g=E5r.
Вариант 4:
Заголовок: Suspekta semaforer. Текст: Hejsan ! I skolan hittade jag en CD skiva som inneh=F6ll bl.a denna = sk=E4rmsl=E4ckare. En l=E4rare som r=E5kade kasta ett =F6ga p=E5 den = avf=E4rdade dess inneh=E5ll som ren rasistisk propaganda. Sj=E4lv tycker = jag inte att det =E4r n=E5got att orda om. Vore tacksam f=F6r din uppfattning. Tack p=E5 f=F6rhand.
Вариант 5:
Заголовок: =?iso-8859-1?Q?Avskyv=E4rd_reklam.?= Текст: Hej! Min minder=E5rige son fick denna sk=E4rmsl=E4ckare p=E5 en CD skiva via = ett massutskick av reklam. Jag uppr=F6rs =F6ver det s=E4tt p=E5 vilket = rasistiska och nazistiska propagandister till=E5ts f=F6rmedla sin = avskyv=E4rda ideologitill barn. Jag =F6verv=E4ger nu att polisanm=E4la detta tilltag s=E5 = snart du, i egenskap av juridisk fackman, delgett mig din =E5sikt. Tack = p=E5 f=F6rhand.
Вариант 6:
Заголовок: =?iso-8859-1?Q?=D6verviktiga_f=F6rnedras.?= Текст: Hejsan ! Jag =F6verv=E4ger att polisanm=E4la denna sk=E4rmsl=E4ckare. Jag anser = att den har en nedl=E5tande attityd gentemot =F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med din syn p=E5 saken. Tack p=E5 f=F6rhand.
Вариант 7:
Заголовок: Go ack ack ack.... Текст: Hej igen! Den h=E4r sk=E4rmsl=E4ckaren verkar vara en amerikansk parodi p=E5 = n=E5got som svenskarna g=F6r p=E5 midsommar. Skratta inte ihj=E4l dig = bara. :-)
Вариант 8:
Заголовок: =?iso-8859-1?Q?=C4r_USA_ett_UFO=3F?= Текст: Hej igen! H=E4r =E4r sk=E4rmsl=E4ckare nummer 4. Kolla in den och tala sedan om = f=F6r mig att George W Bush INTE =E4r en rymdvarelse. ;-)
Вариант 9:
Заголовок: Korkad president. Текст: Hej igen! H=E4r =E4r sk=E4rmsl=E4ckaren som jag snackade om. George W Bush verkar = inte vara allf=F6r bright om man ska tro brittiska komiker. ':-)
Вариант 10:
Заголовок: Katt, hund, kanin. Текст: Hej igen! Om du gillar djur s=E5 m=E5ste denna sk=E4rmsl=E4ckare vara n=E5't f=F6r = dig. Mjau, Voff, Arf Arf.... ;-)
Варианты на английском языке:
Вариант 1:
Заголовок: Screensaver advice. Текст: Do you think this screensaver could be considered illegal? Would = appreciate if you or any one of your friends could check it out and = answer as soon as humanly possible. Thanx !
Вариант 2:
Заголовок: Spy pics. Текст: Here's the screensaver i told you about. It contains pictures taken by = one of the US spy satellites during one of it's missions over iraq. If = you want more of these pic's you know where you can find me. Bye!
Вариант 3:
Заголовок: GO USA !!!! Текст: This screensaver animates the star spangled banner. Please support the = US administration in their fight against terror. Thanx a lot!
Вариант 4:
Заголовок: G.W Bush animation. Текст: Here's the animation that the FBI wants to stop. Seems like the feds are = trying to put an end to peoples right to say what they think of the US = administration. Have fun!
Вариант 5:
Заголовок: Is USA a UFO? Текст: Have a look at this screensaver, and then tell me that George.W Bush is = not an alien. ;-)
Вариант 6:
Заголовок: Is USA always number one? Текст: Some misguided people actually believe that an american life has a = greater value than those of other nationalities. Just have a look at = this pathetic screensaver and then you'll know what i'm talking about. = All the best.
Вариант 7:
Заголовок: LINUX. Текст: Are you a windows user who is curious about the linux environment? This = screensaver gives you a preview of the KDE and GNOME desktops. What's = more, LINUX is a free system, meaning anyone can download it.
Вариант 8:
Заголовок: Nazi propaganda? Текст: This screensaver has been banned in Germany. It contains a number of = animated symbols that can be related to the nazi culture. What do you = think, is it a legitimate ban or not? Please answer asap. Thanx!
Вариант 9:
Заголовок: Catlover. Текст: If you like cats you'll love this screensaver. It's four animated = kittens running around on the screen. Contact me for more clipart. Have = fun! ;-)
Вариант 10:
Заголовок: Disgusting propaganda. Текст: Hello! My 12 year old doughter received this screensaver on a CDROM that = was sent to her through advertising. I find it disturbing that children = are now being targets of nazi organizations. I would appreciate to hear = from you on this matter, as soon as possible. Thank you.
Имя вложения: xx.scr (где xx - любые два символа в диапазоне от 'a' до 'z').
Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем SCANDISK.exe в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk=SCANDISK.exe
Также червь копирует себя со случайным именем (8 символов 'a'-'z' + ".exe") в каталог Windows.
Рассылка писем
При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Червь считывает адреса из адресной базы WAB. Программа также ищет файлы "*.eml", "*.*htm*", "*.dbx", сканирует их и выделяет строки, являющиеся электронными адресами.
Внедрение компоненты в исполняемые Win32 PE EXE-файлы
Червь сканирует все .EXE и .SCR файлы на локальном диске. Если в файле есть подходящие команды (проверяются из списка), то червь внедряет в последнюю секцию PE-файлов свою компоненту. Команда передачи управления на компоненту червя встраивается в выполняемый код. Встроенная компонента выполняет запуск копии червя из Windows каталога. Встроенная компонента содержит строки текста:
KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE
Противодействие антивирусным программам
Червь завершает работу процессов в коде которых обнаружены строки текста:
virus firewall f-secure symantec mcafee pc-cillin trend micro kaspersky sophos norton
Червь сканирует содержимое файлов, указанных в ветке системного реестра:
HKLMSystemCurrentControlSetServicesVxD
Червь удаляет ссылки на файлы из системного реестра внутри которых были обнаружены строки из антивирусных пакетов.
Червь сканирует содержимое запускаемых файлов, имена которых указаны в ключах системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Червь встраивает команду RET в адрес точки входа для файлов внутри которых обнаружены антивирусные строки.
Проявления
Червь каждый раз отсылает письмо с такими характиристиками:
От: skrattahaha@hotmail.com Кому: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
Тема рассылаемых писем: DISKRIMINERAD !!!!
Основной текст письма на шведском языке.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com