Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Win32-червь, распространяется во вложениях в электронную почту. Состоит из двух компонент:
Основная компонента
При запуске (если пользователь, например, откроет ее из вложения в письмо) основная EXE-компонента копирует себя в каталог Windows и именем "PCpower.exe" и в системный каталог Windows с именем "MyLinong.exe". Затем червь создает VBS-компоненту с именем "MyLinong.VBS" в системном каталоге Windows.
Затем эти файлы регистрируются в системном реестре:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
PCPower = %windir%PCpower.exe
MyLinong = %winsystemdir%MyLinong.exe
Linong = %winsystemdir%MyLinong.vbs
Затем червь рассылает себя в электронной почте, файл-вложение может иметь 16 разных имен (см. ниже). При рассылке писем используется стандарт MAPI.
Червь просматривает первые 50 писем в почтовом ящике и берет те из них, которые имеют вложенные файлы. Из этих писем червь считывает адреса электронной почты и отсылает на них письмо со своей копией, вложенной в письмо. Тема и текст письма, также как и имя вложенного файла случайно выбираются из 16 вариантов:
Имя файла:
CFusion.Exe
PatchFusion.exe
MyLinong.Exe
Light up the night.exe
StarMild.exe
Kiss.Exe
Sexy.Exe
Popeye.exe
Olive.exe
BullBull.exe
Moly.exe
Lovely.exe
868879.exe
help.exe
BillGate
Mikropos
Тема:
Info From CFusion
Patch Your CFusion
Still Remember You
Light Up The Night
Man Choice
Kiss Me
Sexy Model
Popeye Cartoon
Olive & Popeye
MyGirlFriend Dogs
My Girl Friend' Dogs
Sweet Lovely
Password
Need Help
Bill
Mikropos
Текст письма:
You can update your Cfusion Online For Free
Are You Ready Fix Your Cfusion,Please Update
She is MY sexy Linong
Light up The Night PARTY...
Are You Man or women. This is The sponsor from our site The man choice
100 way to kiss your GirlFriend or your boyfriend
Did you ever see the sexy girls like her
The New Popeye New Cartoon NetWork
Olive And Popeye Cartoon
Nice dog...
Good Dog and Smart dogs
My Icq Friend Sweet and Lovely
Here The list of Nude Password Website. All of them Still Active, and few of them are death password
Do you need help ? to get money over the internet. You can read the help
Bill..
The New Mikropos Software From Mikropos Network
Проявления
Червь создает каталоги с именами:
"C:Linong I Love U So Much Linong For ever My Love%n"
где %n является числом от 0 до 500 (в некоторых случаях червь создает меньшее количество каталогов)
Червь выводит сообщения:
25 июня:
Message From Me
Happy Birthday To MyLinong
Still Remember Me...
22 июля:
Today I want tell you Once again that
I LOVE U SO MUCH LINONG
Hey user, Please Help me to Tell the world
That I Love Her So Much
14 ноября:
Hi..Nong..I Love You So much.
But today we must Say GoodBye For ever
I wait U in the next Life, and Remember I Love You So Much
VBS-скрипт
Является модификацией вируса "I-Worm.Linong" и предназначен для совместной работы с EXE-компонентой червя.
При запуске VBS-скрипт определяет IP адрес компьютера, на котором он запустился, затем сканирует подсеть: случайным образом модифицирует последнее число в IP адресе (например если адрес 10.10.10.1 то последняя 1 заменяется на произвольное число от 1 до 254). Если обнаружен компьютер с подобным адресом, то скрипт пытается подключить диск C: этого компьютера как сетевой ресурс (диск) с именем J:.
Если попытка подключения к компьютеру успешна, червь копирует файл c:windowslinong.vbs на подключенный сетевой диск по следующим путям:
"j:"
"j:windowsstartm~1programsstartup"
"j:windows"
"j:windowsstart menuprogramsstartup"
В реализации этого алгоритма допущена ошибка в следствии которой червь не способен распространяться по локальной сети.
В дальнейшем червь пытается рассылать свою EXE-компоненту с зараженных машин в письмах с:
Тема: One of this mail
Текст: True Story....
Вложение: mylinong.exe
однако этого не происходит по причине ошибки в коде вируса.
Далее червь так же, как и червь "I-Worm.Linong":
%windows%mylinong.txt.shs
%windows%SYSTEMKern32Lin.vbs
%windows%Vbrun32DLL.vbs
%windows%SYSTEMmylinong.TXT.vbs
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL = %windows%Win32DLL.vbs
Червь далее создает HTA файл и запускает его, в результате на экран выводится текст, содержащийся в HTA:
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com