Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57K, написан Visual Basic.
Зараженные письма содержат различные строки, которые случайно выбираются из вариантов:
Заголовок выбирается из списка:
- Something very special
- I know you will like this
- Yes, something I can share with you
- Wait till you see this!
- A brand new game! I hope you enjoy it
Варианты текста письма:
- Hey you, take a look at the attached file. You won't believe your eyes when you open it!
- You like games like Quake? You will enjoy this one.
- Did you see the pictures of me and my battery operated boyfriend?
- My best friend,
This is something you have to see!
Till next time
- Is Internet that safe?
Check it out
Имя вложения:
- quake4demo.exe
- setup.exe
- honey.exe
Запуск червя
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом червь стартует процедуру инсталляции себя в систему и выводит сообщение:
При нажатии на [Next] ничего не происходит и приложение-червь прекращает свою работу. При нажатии на [Cancel] стартует процедура рассылки зараженных писем.
Инсталляция
Червь создает новый каталог C:EIRAM и копирует себя в систему с именами:
c:eiramquake4demo.exe
f:quake4demo.exe (если такой диск есть)
и затем регистрирует эти файлы в ключах авто-запуска системного реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake"="c:eiramquake4demo.exe" "Q4"="f:quake4demo.exe"HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4"="c:\eiramquake4demo.exe"
"quake"="f:quake4demo.exe"
Позже, при рассылке зараженных писем, червь может также создавать свои дополнительные копии в каталоге Windows, копии червя имеют имена:
- honey.exe
- quake4demo.exe
- setup.exe
Рассылка писем
При рассылке писем червь открывает адресную книгу MS Outlook и рассылает себя по всем обнаруженным адресам.
Проявления
Червь ищет файлы с расширениями имени: .exe, .xls, .doc, .mdb, .htm, .html, .txt, .ocx, и записывает вместо этих файлов текст:
You've didn't protected your files well enough Let this be a lesson! Never trust someone else eiram 1999-2001
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com