Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа “Backdoor”, пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение: Структура вирусаг===============╛ ╕ Вирусные ╕ --> инсталлирует в систему компоненты червя и backdoor, ╕ процедуры ╕ затем ищет и заражает Win32 EXE-файлы ╕ иснталляции и ╕ ╕ заражения EXE ╕ ╕---------------╕ ╕ Код червя ╕ --> распаковывается и запускается как отдельная программа ╕ (упакован) ╕ ╕---------------╕ ╕ Backdoor-код ╕ --> распаковывается и запускается как отдельная программа ╕ (упаковаан) ╕ L===============- Зараженный EXE-файлг===============╛ ╕ Код и данные ╕ ╕ файла ╕ ╕ ╕ ╕===============╕ ╕ Код вируса: ╕ ╕--------------╛╕ ╕╕ Инсталляция ╕╕ ╕╕ и заражение ╕╕ ╕+-------------+╕ ╕╕ Червь ╕╕ ╕+-------------+╕ ╕╕ Backdoor ╕╕ ╕L--------------╕ L===============- Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология – не вполне понятно. Вирусная компонента содержит строки текста:
Червь содержит текст:
Backdoor содержит текст:
Вирусная компонентаПри заражении файлов вирус использует технологию “Entry Point Obscuring” (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру. Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:
Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут “скрытый”:
Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу. ЧервьДля рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве “Happy”. Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура “send”). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет. Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на
После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет. Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:
Червь также блокирует отсылку писем на домены:
Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь “Happy”). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:
В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом). Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. “чистый код” червя не в состоянии сомостоятельно распространяться без “помощи” вирусной компоненты. Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем. BackdoorBackdoor-компонента создает в системном реестре два ключа:
где %WinDir% является основным каталогом Windows. Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows. При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу. |
Узнай статистику распространения угроз в твоем регионе |