Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsОпасный интернет-червь. Распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер Рассылка зараженных писемПри рассылке писем со своей копией червь использует два метода. Во-первых, он ищет почтовую систему Eudora и, если она обнаружена, использует ее для рассылки писем. Для этого червь открывает файл отправляемых сообщений OUT.MBX, сканирует его, выделяет почтовые адреса и рассылает по ним письма, поля которых выглядят следующим образом:
Во-вторых, червь пытается использовать установленную почтовую систему вне зависимости от ее имени. Для этого червь отрывает MAPI-соеднение с почтовой системой, перебирает все письма, выделяет из них почтовые адреса и
Заражение клиентов mIRC и PIRCHДля заражения IRC-клиентов червь записывает специальные скрипт-программы в каталоги IRC-клиентов C:MIRC, C:MIRC32, C:PIRCH98 (если таковые есть). mIRC-скрипт червя содержит также дополнительные функции. Если какой-либо пользователь посылает сообщение с текстом «silverrat», скрипт червя отвечает ему «I have the Silver Rat virus» (таким образом червь сообщает Распространение по локальной сетиДля заражения компьютеров в локальной сети червь перебирает все доступные диски (от C: до Z:), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле Инсталляция в системуЧервь также инсталлирует себя в систему на зараженном компьютере. Для этого он копирует себя с различными именами:
Червь также регистрирует себя в секциях авто-старта системного реестра:
Все перечисленные ключи содержат запись:
где «WinDir» является именем каталога Windows. В результате червь запускается четыре раза (и рассылает зараженные письма) при каждом рестарте Windows. Для того, чтобы выполняться чаще, червь модифицирует дополнительные ключи системного реестра. Дополнительные ключи реестраПри открытии любого файла Windows активизирует приложение, соответствующее расширению имени открываемого файла. Расширения имен файлов и имена приложений связаны в специальном списке в системном реестре. При открытии Червь использует эту особенность Windows для запуска своих копий — вместо имен приложений Windows червь записывает ссылку на свою копию (файл SILVER.VXD). При этом червь модифицирует три ключа для каждого приложения
После модификации ключи реестра выглядят, например, так:
где число в ключе является идентификатором для запуска «настоящего» приложения (см. ниже). Список приложений-жертв достаточно длинный и содержит более 100 имен: accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Briefcase MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp news xslfile rtsp giffile nntp m3ufile scpfile helpfile Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile RealMedia File fndfile WSHFile Перед тем, как изменить ключи (записать в них ссылку на SILVER.VXD), червь сохраняет их значение в специальном «бекап»-списке в ключе:
Этот ключ затем используется червем для запуска «настоящих» приложений: по цифровому идентификатору (см. выше) червь определяет необходимую запись и запускает соответствующий файл на исполнение. Такой метод встраивания в системный реестр очень опасен. Если все копии червя удалены из системы (в процессе лечения), то система становится практически неработоспособной — Windows не может вызвать соответствующие приложения при открытии файлов и выдает сообщение о том, что не найден необходимый файл SILVER.EXE. Червь также уделяет особое внимание тому, чтобы системный реестр нельзя было восстановить с резервной копии (для этого он уничтожает файлы USER.DA0 и SYSTEM.DA0 в каталоге Windows и файл C:SYSTEM.1ST). ПроявлениеЧервь создает в системном реестре ключ своей деинсталляции («Uninstall»):
В результает червь оказывается видимым в окне ControlPanel/AddRemovePrograms как приложение «Silver Rat Virus». Если на это приложение применить
и заполняет мусором заголовок приложения RecycleBin. ПрочееЧервь ищет активные приложения-антивирусы и выгружает их из памяти по именам:
Червь также ищет файлы данных антивирусов и удаляет их:
Червь также пытается (по причине ошибки — безуспешно) заразить VBS-файлы. |
Узнай статистику распространения угроз в твоем регионе |