Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Опасный интернет-червь. Распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер около 90K (файл червя, однако, может быть встречен в упакованном виде, т.е. его размер может оказаться меньше указанного).
Рассылка зараженных писем
При рассылке писем со своей копией червь использует два метода. Во-первых, он ищет почтовую систему Eudora и, если она обнаружена, использует ее для рассылки писем. Для этого червь открывает файл отправляемых сообщений OUT.MBX, сканирует его, выделяет почтовые адреса и рассылает по ним письма, поля которых выглядят следующим образом:
Заголовок: concerning last week ...
Текст: Please review the enclosed and get back with me ASAP.
Double click the Icon to open it.
Имя вложения: c:silver.exe
Во-вторых, червь пытается использовать установленную почтовую систему вне зависимости от ее имени. Для этого червь отрывает MAPI-соеднение с почтовой системой, перебирает все письма, выделяет из них почтовые адреса и рассылает по ним сообщения:
Заголовок: Re: now this is a nice pic :-)
Текст: Thought you might be interested in seeing her
Имя вложения: naked.jpg.exe
Заражение клиентов mIRC и PIRCH
Для заражения IRC-клиентов червь записывает специальные скрипт-программы в каталоги IRC-клиентов C:MIRC, C:MIRC32, C:PIRCH98 (если таковые есть). Скрипт-программа червя затем передает его копию всем пользователям, подключающимся к зараженному IRC-каналу.
mIRC-скрипт червя содержит также дополнительные функции. Если какой-либо пользователь посылает сообщение с текстом "silverrat", скрипт червя отвечает ему "I have the Silver Rat virus" (таким образом червь сообщает своему "хозяину" о зараженных компьютерах). Если в канале появляется сообщение с текстом "pyrealrat", скрипт червя открывает на зараженной машине диск C: как файловый сервер (т.е. позволяет "хозяину" получить полный доступ к файлам на диске C:)
Распространение по локальной сети
Для заражения компьютеров в локальной сети червь перебирает все доступные диски (от C: до Z:), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом червь способен заражать удаленные компьютеры, если их диски открыты на полный доступ.
Инсталляция в систему
Червь также инсталлирует себя в систему на зараженном компьютере. Для этого он копирует себя с различными именами:
в каталог Windows с именами:
SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
в корневой каталог диска C: с именем:
SILVER.EXE
Червь также регистрирует себя в секциях авто-старта системного реестра:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun
Все перечисленные ключи содержат запись:
"Silver Rat" = WinDirsilver.exe
где "WinDir" является именем каталога Windows.
В результате червь запускается четыре раза (и рассылает зараженные письма) при каждом рестарте Windows. Для того, чтобы выполняться чаще, червь модифицирует дополнительные ключи системного реестра.
Дополнительные ключи реестра
При открытии любого файла Windows активизирует приложение, соответствующее расширению имени открываемого файла. Расширения имен файлов и имена приложений связаны в специальном списке в системном реестре. При открытии файла Windows считывает соответствующий ключ из реестра, по нему определяет имя соответствующего приложения и запускает его.
Червь использует эту особенность Windows для запуска своих копий - вместо имен приложений Windows червь записывает ссылку на свою копию (файл SILVER.VXD). При этом червь модифицирует три ключа для каждого приложения (если все такие ключи зарегистрировааны):
shellopencommand
shelleditcommand
Shellplaycommand
После модификации ключи реестра выглядят, например, так:
HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157 "%1" %"
HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157 "%1" %"
HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157 "%1" %"
где число в ключе является идентификатором для запуска "настоящего" приложения (см. ниже).
Список приложений-жертв достаточно длинный и содержит более 100 имен:
accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Briefcase MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp news xslfile rtsp giffile nntp m3ufile scpfile helpfile Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile RealMedia File fndfile WSHFile
Перед тем, как изменить ключи (записать в них ссылку на SILVER.VXD), червь сохраняет их значение в специальном "бекап"-списке в ключе:
HKLMSoftwareSilver Rat
Этот ключ затем используется червем для запуска "настоящих" приложений: по цифровому идентификатору (см. выше) червь определяет необходимую запись и запускает соответствующий файл на исполнение.
Такой метод встраивания в системный реестр очень опасен. Если все копии червя удалены из системы (в процессе лечения), то система становится практически неработоспособной - Windows не может вызвать соответствующие приложения при открытии файлов и выдает сообщение о том, что не найден необходимый файл SILVER.EXE.
Червь также уделяет особое внимание тому, чтобы системный реестр нельзя было восстановить с резервной копии (для этого он уничтожает файлы USER.DA0 и SYSTEM.DA0 в каталоге Windows и файл C:SYSTEM.1ST).
Проявление
Червь создает в системном реестре ключ своей деинсталляции ("Uninstall"):
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Silver Rat Virus"
UninstallString = "c:silver.exe /uninstall"
В результает червь оказывается видимым в окне ControlPanel/AddRemovePrograms как приложение "Silver Rat Virus". Если на это приложение применить команду "Remove", то червь выдает сообщение:
Blood
"I have to return some videos" - American Psycho
и заполняет мусором заголовок приложения RecycleBin.
Прочее
Червь ищет активные приложения-антивирусы и выгружает их из памяти по именам:
AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
ZoneAlarm
WRQ NAMApp Class
Червь также ищет файлы данных антивирусов и удаляет их:
*.AVC (AVP)
*.DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)
Червь также пытается (по причине ошибки - безуспешно) заразить VBS-файлы.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com