Email-Worm.Win32.Swen

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Очень опасный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через сеть файлообмена Kazaa и каналы IRC и открытым сетевым ресурсам.

Написан на языке Microsoft Visual C++ и имеет размер около 105KB (106496 байт).

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении) или если почтовая программа содержит уязвимость IFrame.FileDownload (аналогично червям Klez и Tanatos). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Патч для устранения данной уязвимости выпущен в марте 2001 года - Microsoft Security Bulletin MS01-20.

Червь блокирует работу различных антивирусных программ и межсетевых экранов. Алгоритм работы червя и различные тексты в коде практически идентичны другому сетевому червю - I-Worm.Gibe, однако язык программирования у них разный.

Инсталляция

При первом запуске червь может выводить на экран окно, с заголовком "Microsoft Internet Update Pack" и затем имитирует установку патча:

Червь копирует себя под одним из имен в каталог Windows. Имя формируется из нескольких частей.

Первый вариант имени:

1. Kazaa Lite
   KaZaA media desktop
   KaZaA
   WinRar
   WinZip
   Winamp
   Mirc
   Download Accelerator
   GetRight FTP
   Windows Media Player

2. Key generator
   Hack
   Hacked
   Warez
   Upload
   Installer
   Upload
   Installer

Второй вариант имени:

1. Bugbear
   Yaha
   Gibe
   Sircam
   Sobig
   Klez

2. Remover
   RemovalTool
   Cleaner
   Fixtool

Третий вариант имени:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Serials
Jenna Jameson
Hardporn
Sex
Xbox Emulator
Emulator Ps2
Xp Update
Xxx Video
Sick Joke
Xxx Pictures
My Naked Sister
Hallucinogenic Screensaver
Cooking With Cannabis
Magic Mushrooms Growing
Virus Generator

Созданный файл регистрируется в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  произвольное значение = %windir%имя файла autorun

Создает метку-идентификатор, в которой сохраняет свои конфигурационные значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  произвольное значение

Cоздает в каталоге Windows файл с именем зараженной машины и расширением BAT, со следующими командами:

@ECHO OFF
IF NOT "%1"=="" <имя файла червя>.exe %1

Изменяет значения ключей в HKLMSoftwareClasses таким образом, чтобы получать управление при каждом запуске файлов форматов BAT, COM, EXE, PIF, REG и SCR:

HKCRbatfileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRcomfileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 
   
HKEY_CLASSES_ROOTexefileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRpiffileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRregfileshellopencommand 
  Default = %windir%имя файла червя showerror 

HKCRscrfileshellconfigcommand
  Default = %windir%имя файла червя "%1" 
  
HKCRscrfileshellopencommand 
  Default = %windir%имя файла червя "%1" /S

Отключает возможность редактирования системного реестра:

HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00

При первом заражении машины червь обращается к удаленному сайту:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Таким образом, данный счетчик является индикатором количества зараженных машин.

При попытке запуска файла червя, который уже инсталлирован в систему, выводит сообщение:

Червь ищет на дисках файлы с расширениями DBX, MDX, EML, WAB, а также содержащие в расширении символы HT и ASP. Из них он извлекает найденные адреса электронной почты, которые сохраняет в файле germs0.dbv.

Червь пытается подключиться к одному из 350 серверов, содержащихся в файле swen1.dat, для отправки зараженных писем. Если ни к одному из серверов подключиться не удалось, червь выводит на экран ложное сообщение об ошибке MAPI 32 Exception...

...и просит указать корректный адрес электронной почты и SMTP-сервера.

Размножение через Email

Червь рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл (сам червь).

Имя отправителя (составляется из нескольких частей):

1. Microsoft
   MS

2. (может не использоваться)
   Corporation

3. (может не использоваться)
   Program
   Internet
   Network

4. (всегда, если использована часть 3)
   Security

5. (может не использоваться)
   Division
   Section
   Department
   Center

6. (может не использоваться)
   Public
   Technical
   Customer

7. (может не использоваться)
   Bulletin
   Services
   Assistance
   Support

Например:

Microsoft Internet Security Section
MS Technical Assistance

Адрес отправителя (составляется из двух частей):

• адрес до символа "@": произвольно сгенерированный (например tuevprkpevcg-gxwi@, dwffa@);
• адрес после символа "@": составляется из двух частей (может использоваться только одна часть):
  1. news
     newsletter
     bulletin
     confidence
     advisor
     updates
     technet
     support

  2. msdn
     microsoft
     ms
     msn

  Например: "newsletter.microsoft" или же просто "support". Если использованы обе части, то между используется либо ".", либо "_".

  После символа "." подставляется либо домен "com" либо "net".

Тема письма (составляется из разных частей):

1. Latest
   New
   Last
   Newest
   Current

2. Net
   Network
   Microsoft
   Internet

3. Security
   Critical

4. Upgrade
   Pack
   Update
   Patch

Текст письма:

MS Client (Consumer,Partner,User - выбирается произвольно)
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don't need to do anything after installing this item.

Подпись текста письма:

Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/

For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/

Thank you for using Microsoft products.

Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.

----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.

Имя вложения:

patch[произвольное число].exe
install[произвольное число].exe
q[произвольное число].exe
update[произвольное число].exe

В зависимости от различных условий может отправляться упрощенный вариант письма:

Тема письма может содержать строки:

Letter
Advise
Message
Announcement
Report
Notice
Bug
Error
Abort
Failed
User Unknown

Текст может содержать следующие строчки:

Hi!
This is the qmail program
Message from [произвольное значение]
I'm sorry
I'm sorry to have to inform that
I'm afraid
I'm afraid I wasn't able to deliver your message to the following addresses
the message returned below could not be delivered
I wasn't able to deliver your message
to one or more destinations

В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).

Размножение через Kazaa

Червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным именем и копирует туда несколько своих копий с различными именами.

Данный каталог указывается в системном реестре Windows как Local Content системы файлообмена Kazaa:

HKCUSoftwareKazaaLocalContent
 dir99 = 012345:%Windir%%temp%имя каталога

В результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.

Размножение по IRC

Червь ищет на машине установленный клиент mIRC и если таковой обнаружен - перезаписывает файл script.ini процедуры рассылки. Файл-скрипт script.ini затем отсылает зараженный файл из каталога Windows, всем кто подключается к зараженному IRC-каналу.

Размножение по локальной сети

Червь последовательно перебирает все доступные диски и если находит сетевой, то копирует себя туда с произвольным именем в каталоги:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document and settingsall usersstart menuprogramsstartup
document and settingsdefault userstart menuprogramsstartup
document and settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Прочее

Червь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов.

_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi

kpfw32
lockdown2000
lookout
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

При попытке их запуска выводит ложное сообщение об ошибке:

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com