Email-Worm.Win32.Swen

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Очень опасный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через сеть файлообмена Kazaa и каналы IRC и открытым сетевым ресурсам.

Написан на языке Microsoft Visual C++ и имеет размер около 105KB (106496 байт).

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении) или если почтовая программа содержит уязвимость IFrame.FileDownload (аналогично червям Klez и Tanatos). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Патч для устранения данной уязвимости выпущен в марте 2001 года — Microsoft Security Bulletin MS01-20.

Червь блокирует работу различных антивирусных программ и межсетевых экранов. Алгоритм работы червя и различные тексты в коде практически идентичны другому сетевому червю —
I-Worm.Gibe, однако язык программирования у них разный.

Инсталляция

При первом запуске червь может выводить на экран окно, с заголовком «Microsoft Internet Update Pack» и затем имитирует установку патча:

Червь копирует себя под одним из имен в каталог Windows. Имя формируется из нескольких частей.

Первый вариант имени:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Download Accelerator
    GetRight FTP
    Windows Media Player

  2. Key generator
    Hack
    Hacked
    Warez
    Upload
    Installer
    Upload
    Installer

Второй вариант имени:

  1. Bugbear
    Yaha
    Gibe
    Sircam
    Sobig
    Klez

  2. Remover
    RemovalTool
    Cleaner
    Fixtool

Третий вариант имени:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Serials
Jenna Jameson
Hardporn
Sex
Xbox Emulator
Emulator Ps2
Xp Update
Xxx Video
Sick Joke
Xxx Pictures
My Naked Sister
Hallucinogenic Screensaver
Cooking With Cannabis
Magic Mushrooms Growing
Virus Generator

Созданный файл регистрируется в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  произвольное значение = %windir%имя файла autorun

Создает метку-идентификатор, в которой сохраняет свои конфигурационные значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  произвольное значение

Cоздает в каталоге Windows файл с именем зараженной машины и расширением BAT, со следующими командами:

@ECHO OFF
IF NOT «%1″==»» <имя файла червя>.exe %1

Изменяет значения ключей в HKLMSoftwareClasses таким образом, чтобы получать управление при каждом запуске файлов форматов BAT, COM, EXE, PIF, REG и SCR:

HKCRbatfileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRcomfileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 
   
HKEY_CLASSES_ROOTexefileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRpiffileshellopencommand 
  Default = %windir%имя файла червя "%1" %* 

HKCRregfileshellopencommand 
  Default = %windir%имя файла червя showerror 

HKCRscrfileshellconfigcommand
  Default = %windir%имя файла червя "%1" 
  
HKCRscrfileshellopencommand 
  Default = %windir%имя файла червя "%1" /S

Отключает возможность редактирования системного реестра:

HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00

При первом заражении машины червь обращается к удаленному сайту:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Таким образом, данный счетчик является индикатором количества зараженных машин.

При попытке запуска файла червя, который уже инсталлирован в систему, выводит сообщение:

Червь ищет на дисках файлы с расширениями DBX, MDX, EML, WAB, а также содержащие в расширении символы HT и ASP. Из них он извлекает найденные адреса электронной почты, которые сохраняет в файле germs0.dbv.

Червь пытается подключиться к одному из 350 серверов, содержащихся в файле swen1.dat, для отправки зараженных писем. Если ни к одному из серверов подключиться не удалось, червь выводит на экран ложное сообщение об ошибке MAPI 32 Exception…

…и просит указать корректный адрес электронной почты и SMTP-сервера.

Размножение через Email

Червь рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл (сам червь).

Имя отправителя (составляется из нескольких частей):

  1. Microsoft
    MS

  2. (может не использоваться)
    Corporation

  3. (может не использоваться)
    Program
    Internet
    Network

  4. (всегда, если использована часть 3)
    Security

  5. (может не использоваться)
    Division
    Section
    Department
    Center

  6. (может не использоваться)
    Public
    Technical
    Customer

  7. (может не использоваться)
    Bulletin
    Services
    Assistance
    Support

Например:

Microsoft Internet Security Section
MS Technical Assistance

Адрес отправителя (составляется из двух частей):

  • адрес до символа «@»: произвольно сгенерированный (например tuevprkpevcg-gxwi@, dwffa@);
  • адрес после символа «@»: составляется из двух частей (может использоваться только одна часть):
    1. news
      newsletter
      bulletin
      confidence
      advisor
      updates
      technet
      support

    2. msdn
      microsoft
      ms
      msn

    Например: «newsletter.microsoft» или же просто «support». Если использованы обе части, то между используется либо «.», либо «_».

    После символа «.» подставляется либо домен «com» либо «net».

Тема письма (составляется из разных частей):

  1. Latest
    New
    Last
    Newest
    Current

  2. Net
    Network
    Microsoft
    Internet

  3. Security
    Critical

  4. Upgrade
    Pack
    Update
    Patch

Текст письма:

MS Client (Consumer,Partner,User — выбирается произвольно)
this is the latest version of security update, the
«September 2003, Cumulative Patch» update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
— MS Internet Explorer, version 4.01 and later
— MS Outlook, version 8.00 and later
— MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don’t need to do anything after installing this item.

Подпись текста письма:

Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/

For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/

Thank you for using Microsoft products.

Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.

———————————————-
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.

Имя вложения:

patch[произвольное число].exe
install[произвольное число].exe
q[произвольное число].exe
update[произвольное число].exe

В зависимости от различных условий может отправляться упрощенный вариант письма:

  • Тема письма может содержать строки:
  • Letter
    Advise
    Message
    Announcement
    Report
    Notice
    Bug
    Error
    Abort
    Failed
    User Unknown

  • Текст может содержать следующие строчки:
  • Hi!
    This is the qmail program
    Message from [произвольное значение]
    I’m sorry
    I’m sorry to have to inform that
    I’m afraid
    I’m afraid I wasn’t able to deliver your message to the following addresses
    the message returned below could not be delivered
    I wasn’t able to deliver your message
    to one or more destinations

В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).

Размножение через Kazaa

Червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным именем и копирует туда несколько своих копий с различными именами.

Данный каталог указывается в системном реестре Windows как Local Content системы файлообмена Kazaa:

HKCUSoftwareKazaaLocalContent
 dir99 = 012345:%Windir%%temp%имя каталога

В результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.

Размножение по IRC

Червь ищет на машине установленный клиент mIRC и если таковой обнаружен — перезаписывает файл script.ini процедуры рассылки. Файл-скрипт script.ini затем отсылает зараженный файл из каталога Windows, всем кто подключается к зараженному IRC-каналу.

Размножение по локальной сети

Червь последовательно перебирает все доступные диски и если находит сетевой, то копирует себя туда с произвольным именем в каталоги:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document and settingsall usersstart menuprogramsstartup
document and settingsdefault userstart menuprogramsstartup
document and settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Прочее

Червь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов.

_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

При попытке их запуска выводит ложное сообщение об ошибке: