Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа “Backdoor”, пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в
сентябре-октябре 2000 года.

Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь,
рассылающий электронные письма; троянец-backdoor.

Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение:

Структура вируса

  
 г===============╛
 ╕ Вирусные      ╕ --> инсталлирует в систему компоненты червя и backdoor,
 ╕ процедуры     ╕     затем ищет и заражает Win32 EXE-файлы
 ╕ иснталляции и ╕
 ╕ заражения EXE ╕
 ╕---------------╕
 ╕ Код червя     ╕ --> распаковывается и запускается как отдельная программа
 ╕ (упакован)    ╕
 ╕---------------╕
 ╕ Backdoor-код  ╕ --> распаковывается и запускается как отдельная программа
 ╕ (упаковаан)   ╕
 L===============-

Зараженный EXE-файл

 г===============╛
 ╕ Код и данные  ╕
 ╕ файла         ╕
 ╕               ╕
 ╕===============╕
 ╕ Код вируса:   ╕
 ╕--------------╛╕
 ╕╕ Инсталляция ╕╕
 ╕╕ и заражение ╕╕
 ╕+-------------+╕
 ╕╕ Червь       ╕╕
 ╕+-------------+╕
 ╕╕ Backdoor    ╕╕
 ╕L--------------╕
 L===============-

Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология – не вполне понятно.

Вирусная компонента содержит строки текста:

SABI+.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix

Червь содержит текст:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Backdoor содержит текст:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

Вирусная компонента

При заражении файлов вирус использует технологию “Entry Point Obscuring” (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в
конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление
соответствующий блок кода зараженной программы.

Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру.

Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут “скрытый”:

IE_PACK.EXE – “чистый код” компоненты-червя
WIN32.DLL – червь (копия предыдущего файла), зараженный вирусом
MTX_.EXE – backdoor-компонента

Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу.

Червь

Для рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве “Happy”. Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура “send”). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет.

Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на
зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:

NUL=C:WINDOWSSYSTEMWSOCK32.DLL
C:WINDOWSSYSTEMWSOCK32.DLL=D:WINDOWSSYSTEMWSOCK32.MTX

После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.

Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, и т.д.)

Червь также блокирует отсылку писем на домены:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь “Happy”). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом).

Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. “чистый код” червя не в состоянии сомостоятельно распространяться без “помощи” вирусной компоненты.

Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем.

Backdoor

Backdoor-компонента создает в системном реестре два ключа:

HKLMSoftware[MATRIX]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup=%WinDir%MTX_.EXE

где %WinDir% является основным каталогом Windows.

Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows.

При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение.
Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы.

Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа “Backdoor”, пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре 2000 года. Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor. Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение: Структура вируса г===============╛ ╕ Вирусные ╕ --> инсталлирует в систему компоненты червя и backdoor, ╕ процедуры ╕ затем ищет и заражает Win32 EXE-файлы ╕ иснталляции и ╕ ╕ заражения EXE ╕ ╕---------------╕ ╕ Код червя ╕ --> распаковывается и запускается как отдельная программа ╕ (упакован) ╕ ╕---------------╕ ╕ Backdoor-код ╕ --> распаковывается и запускается как отдельная программа ╕ (упаковаан) ╕ L===============- Зараженный EXE-файл г===============╛ ╕ Код и данные ╕ ╕ файла ╕ ╕ ╕ ╕===============╕ ╕ Код вируса: ╕ ╕--------------╛╕ ╕╕ Инсталляция ╕╕ ╕╕ и заражение ╕╕ ╕+-------------+╕ ╕╕ Червь ╕╕ ╕+-------------+╕ ╕╕ Backdoor ╕╕ ╕L--------------╕ L===============- Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология – не вполне понятно. Вирусная компонента содержит строки текста: SABI+.b ViRuS Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy in #virus and Vecna for help us Visit us at: http://www.coderz.net/matrix Червь содержит текст: Software provide by [MATRiX] VX team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy on #virus channel and Vecna Visit us: www.coderz.net/matrix Backdoor содержит текст: Software provide by [MATRiX] team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 source codes and ideas Вирусная компонента При заражении файлов вирус использует технологию “Entry Point Obscuring” (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление соответствующий блок кода зараженной программы. Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру. Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена: AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут “скрытый”: IE_PACK.EXE – “чистый код” компоненты-червя WIN32.DLL – червь (копия предыдущего файла), зараженный вирусом MTX_.EXE – backdoor-компонента Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу. Червь Для рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве “Happy”. Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура “send”). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет. Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например: NUL=C:WINDOWSSYSTEMWSOCK32.DLL C:WINDOWSSYSTEMWSOCK32.DLL=D:WINDOWSSYSTEMWSOCK32.MTX После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет. Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям: nii. nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman (NAI, AVP, F-Secure, Panda, Sophos, и т.д.) Червь также блокирует отсылку писем на домены: wildlist.o* il.esafe.c* perfectsup* complex.is* HiServ.com* hiserv.com* metro.ch* beyond.com* mcafee.com* pandasoftw* earthlink.* inexar.com* comkom.co.* meditrade.* mabex.com * cellco.com* symantec.c* successful* inforamp.n* newell.com* singnet.co* bmcd.com.a* bca.com.nz* trendmicro* sophos.com* maple.com.* netsales.n* f-secure.c* Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь “Happy”). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца: README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом). Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. “чистый код” червя не в состоянии сомостоятельно распространяться без “помощи” вирусной компоненты. Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем. Backdoor Backdoor-компонента создает в системном реестре два ключа: HKLMSoftware[MATRIX] HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup=%WinDir%MTX_.EXE где %WinDir% является основным каталогом Windows. Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows. При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы. Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.MTX