Продукты:
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Уязвимости Угрозы
Главная Угрозы Email-Worm Win32

Email-Worm.Win32.Haiku

Класс
Email-Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты. Является 16-килобайтным PE EXE-файлом Windows. Передается по электронной почте в виде присоединенного к письмам файла HAIKU.EXE. При запуске этого файла червь получает управление, инсталлирует себя в систему, выводит сообщение-"обманку" и завершает свою работу. При следующей перезагрузке Windows червь активизируется из своей инсталлированной в систему копии, остается в памяти Windows как скрытое приложение и рассылает в Интернет свои копии, присоединенные к электронным письмам.

Инсталляция

Для инсталляции своей копии в систему червь копирует себя в каталог Windows под именем HAIKUG.EXE регистрирует этот файл в конфигурационном файле Windows так, что при каждом запуске Windows автоматически выполняет копию червя. Для этого червь прописывает в конфигурационный файл команду автозапуска "run=", которая указывает на червя. В зависимости от версии Windows процесс регистрации происходит одним из двух способов. Червь регистрирует себя либо в файле WIN.INI (в случае Win95/98) или в системном реестре (под WinNT).

Затем, для имитации какой-либо "полезной деятельности", червь выводит окно сообщения. Это сообщение имеет заголовок "Haiku Generator" и текст, случайно сконструированный из набора слов (существительных, глаголов, артиклей и т.д.), например:

 Twisting blossom the splinter suddenly the breeze fell the stem.  
 Long branch the sea toward the grape ripples the mushroom.  
 From the edge the overlooking solemn autumn and the bruised grass.

Полный набор возможных слов выглядит следующим образом:

 this that these those of to with from in on
 slowly calmly soon suddenly eagerly afterward slightly toward now
 the a and or

 bridge light sea fish butterfly foghorn day moon evening spring sunset
 boat petal blossom stone mist passage darkness dolphin ant shadow star
 frost cicada wind garden orchard chestnut forest leaf sun winter autumn
 summer morning tree branch smoke grape rainbow blackness shade edge
 snowflake raindrop starling stem charcoal silence flurry trunk gnat pear
 strawberry breeze grass silence worm solstice rain cauliflower dawn fire
 splinter cedar skyline mushroom foam roar child

 reflected calm distant small shifting long overlooking delicate tiny
 colorful silent noisy faint bruised plucked ripening swollen dark new old
 brittle steaming decaying single wet bare bright cold heavy purplish
 fleeting smooth pale imprisoned lightning frozen cupped dewy shriveled
 fiery hunkered stirring chattering misshapen taut matted visible wild
 surprising sudden trembling twisting perfect flashing frosted solemn
 rising lost loved

 share shared stop stopped recall recalled drive drove chase chased contain
 contained return returned rise rose ripple rippled move moved fall fell
 hang hung miss missed catch caught start started tousle tousled pass
 passed pluck plucked blind blinded crush crushed awake awoke rattle
 rattled pierce pierced

Рассылка писем

Для распространения своих копий червь ищет DOC, EML, HTM, HTML, RTF и TXT-файлы в каталоге персональных файлов MS Explorer ("My Documents" или "Мои документы"), сканирует эти файлы и ищет в них текстовые строки, содержащие адреса электронной почты. Затем червь устанавливает соединение с Интернет при помощи протокола SMTP и передает зараженные письма по обнаруженным адресам. Червь рассылает свои копии только один раз и послу удачной отсылки выгружает свою копию из памяти Windows.

Поле "Subject" в зараженных письмах содержит текст "Fw: Compose your own haikus!", а само письмо выглядит следующим образом:

 :))

 ----- Original Message -----

 >"Old pond...
 > a frog leaps in
 > water's sound."
 >- Matsuo Basho.
 >
 >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
 >
 >Haiku is a small poetry with oriental metric that appeared in the
 >XVI century and is being very popular, mainly in Japan and the USA.
 >
 >It's done to trascend the limitation imposed by the usual language
 >and the linear/scientific thinking that treat the nature and the
 >human being as a machine.
 >
 >It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
 >It must register or indicate a moment, sensation, impression or
 >drama of a specific fact of nature. It's almost like a photo of
 > some specific moment of nature.
 >
 >More than inspiration, what you need in order to compose a real
 >haiku is meditation, effort and perception.
 >
 >DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
 >
 >Now you can! it is very easy to get started in this old poetry
 >art. Attached to this e-mail you will find a copy of a simple
 >haiku generator. It will help you in order to understand the
 >basics of the metric, rhyme and subjects which should be used
 >when composing a real haiku... just check it out! it's freeware
 >and you can use and spread it as long as you want!
 >
 >

Затем червь с вероятностью 1/16 (в зависимости от случайного счетчика) скачивает с какого-то WEB-сервера музыкальный файл "/haiku_wav/Haiku.wav", проигрывает его и выводит сообщение:

 [ I-Worm.Haiku, by Mister Sandman ]
   Did you know
   The smallest box may hold
   The biggest treasure?

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Related articles
22 April 2024
Securelist
ToddyCat роет норы в вашей инфраструктуре и крадет секреты
19 April 2024
Securelist
Managed Detection and Response — отчет за 2023 год
18 April 2024
Securelist
Реагирование на инциденты: аналитический отчет за 2023 год
18 April 2024
Securelist
История с бэкдором в XZ — первоначальный анализ
17 April 2024
Securelist
SoumniBot: уникальные техники нового банкера для Android
16 April 2024
Securelist
Билдер LockBit и целевые шифровальщики
Нашли неточность в описании этой уязвимости?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Нашли новую угрозу или уязвимость?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Продукты
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Select language
Sorting
Угроза
Confirm changes?
Your message has been sent successfully.