Email-Worm.Win32.Silver

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Опасный интернет-червь. Распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер
около 90K (файл червя, однако, может быть встречен в упакованном виде, т.е. его размер может оказаться меньше указанного).

Рассылка зараженных писем

При рассылке писем со своей копией червь использует два метода. Во-первых, он ищет почтовую систему Eudora и, если она обнаружена, использует ее для рассылки писем. Для этого червь открывает файл отправляемых сообщений OUT.MBX, сканирует его, выделяет почтовые адреса и рассылает по ним письма, поля которых выглядят следующим образом:

Заголовок: concerning last week …
Текст: Please review the enclosed and get back with me ASAP.
Double click the Icon to open it.

Имя вложения: c:silver.exe

Во-вторых, червь пытается использовать установленную почтовую систему вне зависимости от ее имени. Для этого червь отрывает MAPI-соеднение с почтовой системой, перебирает все письма, выделяет из них почтовые адреса и
рассылает по ним сообщения:

Заголовок: Re: now this is a nice pic 🙂
Текст: Thought you might be interested in seeing her
Имя вложения: naked.jpg.exe

Заражение клиентов mIRC и PIRCH

Для заражения IRC-клиентов червь записывает специальные скрипт-программы в каталоги IRC-клиентов C:MIRC, C:MIRC32, C:PIRCH98 (если таковые есть).
Скрипт-программа червя затем передает его копию всем пользователям, подключающимся к зараженному IRC-каналу.

mIRC-скрипт червя содержит также дополнительные функции. Если какой-либо пользователь посылает сообщение с текстом «silverrat», скрипт червя отвечает ему «I have the Silver Rat virus» (таким образом червь сообщает
своему «хозяину» о зараженных компьютерах). Если в канале появляется сообщение с текстом «pyrealrat», скрипт червя открывает на зараженной машине диск C: как файловый сервер (т.е. позволяет «хозяину» получить полный доступ к файлам на диске C:)

Распространение по локальной сети

Для заражения компьютеров в локальной сети червь перебирает все доступные диски (от C: до Z:), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле
WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом червь способен заражать удаленные компьютеры, если их диски открыты на полный доступ.

Инсталляция в систему

Червь также инсталлирует себя в систему на зараженном компьютере. Для этого он копирует себя с различными именами:

в каталог Windows с именами:

SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
в корневой каталог диска C: с именем:
SILVER.EXE

Червь также регистрирует себя в секциях авто-старта системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Все перечисленные ключи содержат запись:

«Silver Rat» = WinDirsilver.exe

где «WinDir» является именем каталога Windows.

В результате червь запускается четыре раза (и рассылает зараженные письма) при каждом рестарте Windows. Для того, чтобы выполняться чаще, червь модифицирует дополнительные ключи системного реестра.

Дополнительные ключи реестра

При открытии любого файла Windows активизирует приложение, соответствующее расширению имени открываемого файла. Расширения имен файлов и имена приложений связаны в специальном списке в системном реестре. При открытии
файла Windows считывает соответствующий ключ из реестра, по нему определяет имя соответствующего приложения и запускает его.

Червь использует эту особенность Windows для запуска своих копий — вместо имен приложений Windows червь записывает ссылку на свою копию (файл SILVER.VXD). При этом червь модифицирует три ключа для каждого приложения
(если все такие ключи зарегистрировааны):

shellopencommand
shelleditcommand
Shellplaycommand

После модификации ключи реестра выглядят, например, так:

HKCRAIFFFILEshellopencommand = «C:WINDOWSsilver.vxd 33157 «%1″ %»
HKCRAIFFFILEshellplaycommand = «C:WINDOWSsilver.vxd 53157 «%1″ %»
HKCRASFFILEshellopencommand = «C:WINDOWSsilver.vxd 379157 «%1″ %»

где число в ключе является идентификатором для запуска «настоящего» приложения (см. ниже).

Список приложений-жертв достаточно длинный и содержит более 100 имен:

 accesshtmlfile      iqyfile             regedit                     fonfile
 accessthmltemplate  IVFfile             regfile                     GatewayFile
 AIFFFILE            jpegfile            SHCmdFile                   htafile
 AllaireTemplate     JSFile              SoundRec                    icsfile
 anifile             ldap                tgafile                     mhtmlfile
 artfile             mailto              txtfile                     MMS
 aspfile             mic                 VBSFile                     MMST
 AudioCD             MIDFile             wab_auto_file               MMSU
 aufile              money               Winamp.File                 NSM
 AVIFile             MOVFile             WinRAR                      MSBD
 Briefcase           MPEGFILE            WinRAR.ZIP                  motiffile
 cdafile             MPlayer             WinZip                      Msi.Package
 Chat                mscfile             wrifile                     Msi.Patch
 CSSfile             msee                WSFFile                     ofc.Document
 curfile             msgfile             x-internet-signup           ofx.Document
 Drive               MSProgramGroup      xbmfile                     pjpegfile
 DrWatsonLog         Net2PhoneApp        xmlfile                     PNM
 Excel.Workspace     NetscapeMarkup      xnkfile                     qwb.Document
 ftp                 news                xslfile                     rtsp
 giffile             nntp                m3ufile                     scpfile
 helpfile            Notes.Link          ASFFile                     scriptletfile
 hlpfile             ossfile             ASXFile                     SSM
 htfile              outlook             BeHostFile                  ThemeFile
 htmlfile            PBrush              ChannelFile                 TIFImage.Document
 http                pcxfile             chm.file                    ttffile
 https               pngfile             CMCD                        WangImage.Document
 icofile             powerpointhtmlfile  Connection Manager Profile  Whiteboard
 icquser             ramfile             eybfile                     WIFImage.Document
 inifile             RealMedia File      fndfile                     WSHFile

Перед тем, как изменить ключи (записать в них ссылку на SILVER.VXD), червь сохраняет их значение в специальном «бекап»-списке в ключе:

HKLMSoftwareSilver Rat

Этот ключ затем используется червем для запуска «настоящих» приложений: по цифровому идентификатору (см. выше) червь определяет необходимую запись и запускает соответствующий файл на исполнение.

Такой метод встраивания в системный реестр очень опасен. Если все копии червя удалены из системы (в процессе лечения), то система становится практически неработоспособной — Windows не может вызвать соответствующие приложения при открытии файлов и выдает сообщение о том, что не найден необходимый файл SILVER.EXE.

Червь также уделяет особое внимание тому, чтобы системный реестр нельзя было восстановить с резервной копии (для этого он уничтожает файлы USER.DA0 и SYSTEM.DA0 в каталоге Windows и файл C:SYSTEM.1ST).

Проявление

Червь создает в системном реестре ключ своей деинсталляции («Uninstall»):

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = «Silver Rat Virus»
UninstallString = «c:silver.exe /uninstall»

В результает червь оказывается видимым в окне ControlPanel/AddRemovePrograms как приложение «Silver Rat Virus». Если на это приложение применить
команду «Remove», то червь выдает сообщение:

Blood
«I have to return some videos» — American Psycho

и заполняет мусором заголовок приложения RecycleBin.

Прочее

Червь ищет активные приложения-антивирусы и выгружает их из памяти по именам:

AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
ZoneAlarm
WRQ NAMApp Class

Червь также ищет файлы данных антивирусов и удаляет их:

*.AVC (AVP)
*.DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Червь также пытается (по причине ошибки — безуспешно) заразить VBS-файлы.