Email-Worm.Win32.Happy

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Первый «современный» Интернет-червь (Internet Worm), обнаруженный «в живом
виде». Червь не использует дисковые файлы как основные объекты для
размножения и распространения своих копий, а рассылает свой код в сеть
Интернет в виде вложений в электронные письма. Червь был «выпущен на волю»
в январе 1999 (предположительно автором червя) — зараженные письма были
разосланы на несколько Internet-серверов новостей. Через несколько дней
сообщения о зараженных компьютерах были зарегистрированы в Европейских
сетях Internet.

Червь распространяется как вложенный в письмо EXE-файл с именем
HAPPY99.EXE. При запуске этого файла червь вызывает видео-эффект,
напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого
червь вызывает процедуру инсталляции своего кода в систему: копирует себя в
системный каталог Windows, перехватывает функции работы с Интернет,
конвертирует свой код в формат почтового вложения и добавляет его к
отсылаемым письмам. То есть червь, инсталлированный в систему, рассылает
свои копии в Интернет по всем адресам, на которые пользователь посылает
свои сообщения.

При инсталляции в систему червь изменяет только файлы в системном каталоге
Windows: создает в этом каталоге файлы SKA.EXE и SKA.DLL; сохраняет файл
WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл
WSOCK32.DLL. В некоторых случаях червь также регистрирует файл SKA.EXE в
системном реестре (см. ниже).

Удаление и превентивные меры

Если червь обнаружен на компьютере, то его удаление не представляет
какого-либо труда. Необходимо удалить файлы SKA.EXE и SKA.DLL из системного
каталога Windows, заменить файл WSOCK32.DLL на его незараженную копию
WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл
HAPPY99.EXE.

Для дальнейшей защиты компьютера от данного червя достаточно всего лишь
установить атрибут «только чтение» у файла WSOCK32.DLL. Червь не в
состоянии заразить систему в этом случае, поскольку он не обрабатывает
атрибуты файлов.

Следует помнить

Ни в коем случае не следует запускать файл HAPPY99.EXE вне зависимости от
того, откуда он был получен — даже если письмо получено с адреса, который
Вам известен и которому Вы абсолютно доверяете. Следует также помнить, что
выполняемые файлы, которые Вы получаете из сети Интернет могут оказаться
опасными для Вашего компьютера: в них могут оказаться зловредные программы,
которые могут заразить компьютер новым вирусом, разрушить данные, передать
с Вашего компьютера в Интернет конфиденциальную информацию, установить
«шпионскую» программу скрытного управления с удаленного адреса и т.п.

Открытие полученных из сети Интернет файлов MS Office с отключенной защитой
от макро-вирусов и запуск непроверенных EXE-файлов чрезвычайно рискованное
дело. Об этом следует помнить каждый раз, когда Вы получаете очередное
письмо с вложенным в него файлом.

Технические детали

Червь представляет из себя файл HAPPY99.EXE размером точно 10.000 байт.
Данный файл является стандартным выполняемым файлом Windows32 (PE — Portable Executable). Червь работоспособен под Win95/98, однако по причине ошибок не в состоянии заразить WinNT.

Червь содержит строки текста, часть из которых зашифрована:

Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c)
Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe

При запуске файла управление передается на процедуру инсталляции червя.
Червь копирует свой файл HAPPY99.EXE в системный каталог Windows под именем
SKA.EXE и создает там же дополнительный DLL-файл SKA.DLL. Этот файл
хранится в теле червя в упакованном и зашифрованном виде в сегменте данных.

Затем червь копирует файл WSOCK32.DLL в файл WSOCK32.SKA (делает «бэкап») и
патчит код WSOCK32.DLL. Если в этот момент файл WSOCK32.DLL задействован
системой и его непозможно открыть на запись, червь создает новый ключ в
системном реестре и записывает в него команду авто-запуска своей копии при
очередном старте Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce=SKA.EXE

В файл WSOCK32.DLL червь записывает свою процедуру инициализации и меняет
адреса двух экспортируемых функций. Процедура инициализации является
достаточно короткой (всего 202 байта) и записывается в конец кодовой секции
файла WSOCK32.DLL перед секцией данных. Поскольку в файле WSOCK32.DLL для
этого достаточно места, его размер при заражении не увеличивается. Затем
червь корректирует таблицу экспортов файла таким образом, что две функции
«connect» и «send» указывают на код червя на два соответствующих
перехватчика.

При обращении к ресурсам Интернет операционная система загружает
WSOCK32.DLL, процедура инициализации активизируется и перехватывает два
события: сетевое соединение и передачу данных. Червь обрабатывает два типа
соединений: по портам почты и новостей (порты 25 и 119 — smtp и nntp). В
момент установки одного из таких соединений червь загружает свою библиотеку
SKA.DLL, которая имеет две экспортируемые процедуры: mail и news. В
зависимости от номера порта червь вызывает одну из этих процедур, однако
обе они суть одно и тоже: обрабатывают заголовки посылаемых писем,
запоминают адрес, на который отправляется письмо, и затем посылают на тот
же адрес новое письмо с вложенным в него файлом HAPPY99.EXE. Червь также
добавляет в служебный заголовок «зараженных» писем свой идентификатор:

X-Spanska: Yes

Червь также запоминает в файле LISTE.SKA в системном каталоге Windows все
адреса, на которые расссылаются «зараженные» письма. Этот «лог-файл» имеет
ограниченный размер и содержит до 5K данных, т.е. примерно до 200 адресов,
на которые червь передал свои копии.

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 151 K, написан на Visual Basic.


Зараженные письма содержат:

Тема: COSTO


Тело письма: Mensaje importante para %Recipient% en el archivo adjunto…


%Recipient% является полным именем адресата.


Вложение: PE EXE файл, имя не фиксировано.


Инсталляция


После запуска червь создаёт окно с картинкой

и устанавливается в систему. Червь делает 3 свои копии в системной директории Windows: одну с именем файла, откуда червь был запущен, и две со следующими именами:

%SYSTEM%THWIN.EXE

%SYSTEM%MSWORD.EXE



После этого червь регистрируется в следующих ключах автозапуска Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
THWIN=%SYSTEM%THWIN.EXE

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
THWIN=%SYSTEM%THWIN.EXE

Червь также пытается скопировать себя на диск A: с именем «UNSCH.JPG.EXE».


Рассылка писем

Для отсылки заражённых писем червь использует Microsoft Outlook. Он получает имена и адреса жертв из адресной книги Outlook и отсылает по найденным адресам письма со своими копиями.


Проявления

В зависимости от внутренних счётчиков, червь записывает в файл
C:Autoexec.bat команду форматирования диска C:.