Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Первый "современный" Интернет-червь (Internet Worm), обнаруженный "в живом виде". Червь не использует дисковые файлы как основные объекты для размножения и распространения своих копий, а рассылает свой код в сеть Интернет в виде вложений в электронные письма. Червь был "выпущен на волю" в январе 1999 (предположительно автором червя) - зараженные письма были разосланы на несколько Internet-серверов новостей. Через несколько дней сообщения о зараженных компьютерах были зарегистрированы в Европейских сетях Internet.
Червь распространяется как вложенный в письмо EXE-файл с именем HAPPY99.EXE. При запуске этого файла червь вызывает видео-эффект, напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого червь вызывает процедуру инсталляции своего кода в систему: копирует себя в системный каталог Windows, перехватывает функции работы с Интернет, конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым письмам. То есть червь, инсталлированный в систему, рассылает свои копии в Интернет по всем адресам, на которые пользователь посылает свои сообщения.
При инсталляции в систему червь изменяет только файлы в системном каталоге Windows: создает в этом каталоге файлы SKA.EXE и SKA.DLL; сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL. В некоторых случаях червь также регистрирует файл SKA.EXE в системном реестре (см. ниже).
Удаление и превентивные меры
Если червь обнаружен на компьютере, то его удаление не представляет какого-либо труда. Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows, заменить файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного червя достаточно всего лишь установить атрибут "только чтение" у файла WSOCK32.DLL. Червь не в состоянии заразить систему в этом случае, поскольку он не обрабатывает атрибуты файлов.
Следует помнить
Ни в коем случае не следует запускать файл HAPPY99.EXE вне зависимости от того, откуда он был получен - даже если письмо получено с адреса, который Вам известен и которому Вы абсолютно доверяете. Следует также помнить, что выполняемые файлы, которые Вы получаете из сети Интернет могут оказаться опасными для Вашего компьютера: в них могут оказаться зловредные программы, которые могут заразить компьютер новым вирусом, разрушить данные, передать с Вашего компьютера в Интернет конфиденциальную информацию, установить "шпионскую" программу скрытного управления с удаленного адреса и т.п.
Открытие полученных из сети Интернет файлов MS Office с отключенной защитой от макро-вирусов и запуск непроверенных EXE-файлов чрезвычайно рискованное дело. Об этом следует помнить каждый раз, когда Вы получаете очередное письмо с вложенным в него файлом.
Технические детали
Червь представляет из себя файл HAPPY99.EXE размером точно 10.000 байт. Данный файл является стандартным выполняемым файлом Windows32 (PE - Portable Executable). Червь работоспособен под Win95/98, однако по причине ошибок не в состоянии заразить WinNT.
Червь содержит строки текста, часть из которых зашифрована:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c)
Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe
При запуске файла управление передается на процедуру инсталляции червя. Червь копирует свой файл HAPPY99.EXE в системный каталог Windows под именем SKA.EXE и создает там же дополнительный DLL-файл SKA.DLL. Этот файл хранится в теле червя в упакованном и зашифрованном виде в сегменте данных.
Затем червь копирует файл WSOCK32.DLL в файл WSOCK32.SKA (делает "бэкап") и патчит код WSOCK32.DLL. Если в этот момент файл WSOCK32.DLL задействован системой и его непозможно открыть на запись, червь создает новый ключ в системном реестре и записывает в него команду авто-запуска своей копии при очередном старте Windows:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce=SKA.EXE
В файл WSOCK32.DLL червь записывает свою процедуру инициализации и меняет адреса двух экспортируемых функций. Процедура инициализации является достаточно короткой (всего 202 байта) и записывается в конец кодовой секции файла WSOCK32.DLL перед секцией данных. Поскольку в файле WSOCK32.DLL для этого достаточно места, его размер при заражении не увеличивается. Затем червь корректирует таблицу экспортов файла таким образом, что две функции "connect" и "send" указывают на код червя на два соответствующих перехватчика.
При обращении к ресурсам Интернет операционная система загружает WSOCK32.DLL, процедура инициализации активизируется и перехватывает два события: сетевое соединение и передачу данных. Червь обрабатывает два типа соединений: по портам почты и новостей (порты 25 и 119 - smtp и nntp). В момент установки одного из таких соединений червь загружает свою библиотеку SKA.DLL, которая имеет две экспортируемые процедуры: mail и news. В зависимости от номера порта червь вызывает одну из этих процедур, однако обе они суть одно и тоже: обрабатывают заголовки посылаемых писем, запоминают адрес, на который отправляется письмо, и затем посылают на тот же адрес новое письмо с вложенным в него файлом HAPPY99.EXE. Червь также добавляет в служебный заголовок "зараженных" писем свой идентификатор:
X-Spanska: Yes
Червь также запоминает в файле LISTE.SKA в системном каталоге Windows все адреса, на которые расссылаются "зараженные" письма. Этот "лог-файл" имеет ограниченный размер и содержит до 5K данных, т.е. примерно до 200 адресов, на которые червь передал свои копии.
Technical Details
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 151 K, написан на Visual Basic.
Зараженные письма содержат:
Тема: COSTO%Recipient% является полным именем адресата.Тело письма: Mensaje importante para %Recipient% en el archivo adjunto...
Вложение: PE EXE файл, имя не фиксировано.
Инсталляция
После запуска червь создаёт окно с картинкой
и устанавливается в систему. Червь делает 3 свои копии в системной директории Windows: одну с именем файла, откуда червь был запущен, и две со следующими именами:
%SYSTEM%THWIN.EXE
%SYSTEM%MSWORD.EXE
После этого червь регистрируется в следующих ключах автозапуска Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
THWIN=%SYSTEM%THWIN.EXEHKLMSoftwareMicrosoftWindowsCurrentVersionRun
THWIN=%SYSTEM%THWIN.EXE
Червь также пытается скопировать себя на диск A: с именем "UNSCH.JPG.EXE".
Рассылка писем
Для отсылки заражённых писем червь использует Microsoft Outlook. Он получает имена и адреса жертв из адресной книги Outlook и отсылает по найденным адресам письма со своими копиями.
Проявления
В зависимости от внутренних счётчиков, червь записывает в файл C:Autoexec.bat команду форматирования диска C:.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com