Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты. Является 16-килобайтным PE EXE-файлом Windows. Передается по электронной почте в виде присоединенного к письмам файла HAIKU.EXE. При запуске этого файла червь получает управление, инсталлирует себя в систему, выводит сообщение-"обманку" и завершает свою работу. При следующей перезагрузке Windows червь активизируется из своей инсталлированной в систему копии, остается в памяти Windows как скрытое приложение и рассылает в Интернет свои копии, присоединенные к электронным письмам.
Инсталляция
Для инсталляции своей копии в систему червь копирует себя в каталог Windows под именем HAIKUG.EXE регистрирует этот файл в конфигурационном файле Windows так, что при каждом запуске Windows автоматически выполняет копию червя. Для этого червь прописывает в конфигурационный файл команду автозапуска "run=", которая указывает на червя. В зависимости от версии Windows процесс регистрации происходит одним из двух способов. Червь регистрирует себя либо в файле WIN.INI (в случае Win95/98) или в системном реестре (под WinNT).
Затем, для имитации какой-либо "полезной деятельности", червь выводит окно сообщения. Это сообщение имеет заголовок "Haiku Generator" и текст, случайно сконструированный из набора слов (существительных, глаголов, артиклей и т.д.), например:
Twisting blossom the splinter suddenly the breeze fell the stem. Long branch the sea toward the grape ripples the mushroom. From the edge the overlooking solemn autumn and the bruised grass.
Полный набор возможных слов выглядит следующим образом:
this that these those of to with from in on slowly calmly soon suddenly eagerly afterward slightly toward now the a and or
bridge light sea fish butterfly foghorn day moon evening spring sunset boat petal blossom stone mist passage darkness dolphin ant shadow star frost cicada wind garden orchard chestnut forest leaf sun winter autumn summer morning tree branch smoke grape rainbow blackness shade edge snowflake raindrop starling stem charcoal silence flurry trunk gnat pear strawberry breeze grass silence worm solstice rain cauliflower dawn fire splinter cedar skyline mushroom foam roar child
reflected calm distant small shifting long overlooking delicate tiny colorful silent noisy faint bruised plucked ripening swollen dark new old brittle steaming decaying single wet bare bright cold heavy purplish fleeting smooth pale imprisoned lightning frozen cupped dewy shriveled fiery hunkered stirring chattering misshapen taut matted visible wild surprising sudden trembling twisting perfect flashing frosted solemn rising lost loved
share shared stop stopped recall recalled drive drove chase chased contain contained return returned rise rose ripple rippled move moved fall fell hang hung miss missed catch caught start started tousle tousled pass passed pluck plucked blind blinded crush crushed awake awoke rattle rattled pierce pierced
Рассылка писем
Для распространения своих копий червь ищет DOC, EML, HTM, HTML, RTF и TXT-файлы в каталоге персональных файлов MS Explorer ("My Documents" или "Мои документы"), сканирует эти файлы и ищет в них текстовые строки, содержащие адреса электронной почты. Затем червь устанавливает соединение с Интернет при помощи протокола SMTP и передает зараженные письма по обнаруженным адресам. Червь рассылает свои копии только один раз и послу удачной отсылки выгружает свою копию из памяти Windows.
Поле "Subject" в зараженных письмах содержит текст "Fw: Compose your own haikus!", а само письмо выглядит следующим образом:
:)) ----- Original Message ----- >"Old pond... > a frog leaps in > water's sound." >- Matsuo Basho. > >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS? > >Haiku is a small poetry with oriental metric that appeared in the >XVI century and is being very popular, mainly in Japan and the USA. > >It's done to trascend the limitation imposed by the usual language >and the linear/scientific thinking that treat the nature and the >human being as a machine. > >It usually has 3 lines and 17 syllables distributed in 5, 7 and 5. >It must register or indicate a moment, sensation, impression or >drama of a specific fact of nature. It's almost like a photo of > some specific moment of nature. > >More than inspiration, what you need in order to compose a real >haiku is meditation, effort and perception. > >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS? > >Now you can! it is very easy to get started in this old poetry >art. Attached to this e-mail you will find a copy of a simple >haiku generator. It will help you in order to understand the >basics of the metric, rhyme and subjects which should be used >when composing a real haiku... just check it out! it's freeware >and you can use and spread it as long as you want! > >
Затем червь с вероятностью 1/16 (в зависимости от случайного счетчика) скачивает с какого-то WEB-сервера музыкальный файл "/haiku_wav/Haiku.wav", проигрывает его и выводит сообщение:
[ I-Worm.Haiku, by Mister Sandman ] Did you know The smallest box may hold The biggest treasure?
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com