Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Internet червь (вирус типа червь), распространяющий через e-mail, IRC каналы, заражающий файлы на локальных компьютерах и распространяющий себя по локальной сети. Ворует системные пароли (PWL файлы) на зараженных компьютерах, проявляет себя множеством способов.
Червь представляет из себя 80Kb Win32-программу (PE EXE), написанную на языке программирования Delphi. "Чистый" код червя занимает около 20Kb, а остальное - код Delphi run-time библиотек, данные, и прочая информация.
Червь прибывает по e-mail в виде фальшивого сообщения (смотри ниже) c подключенным PKZIP.EXE файлом, который и является червем. При запуске червь устанавливается в систему, заражает файлы на локальном компьютере, передает свои копии на доступные логические диски (включая сетевые), поражает mIRC-клиента (если таковой установлен), и посылает зараженные сообщения по электронной почте, используя для этого почтовую систему Eudora.
Инсталляция в систему
При внедрении своего кода в систему червь копирует себя под именем KERNEL.EXE в каталог Windows (в случае Win95/98) или в системный каталог Windows (в случае WinNT) и регистрирует себя в системном реестре как авто-исполняемую программу:
SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock=kernel.exe
Червь также имеет процедуру дополнительной установки, которая устанавливает копии червя на все доступные диски. Эта процедура описывается ниже.
Заражение компьютера
Червь заражает всего около 40 файлов на компьютере, при этом заражает не более четырех файлов при каждом запуске. Червь заражает следующие файлы в каталоге Windows:
NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE, USRMGR.EXE
Затем червь заражает программы, которые связаны со следующими ключами реестра:
SOFTWAREClassesAccess.Application.8 shellopencommand SOFTWAREClassesAudioCD shellplaycommand SOFTWAREClassesAVIFile shellplaycommand SOFTWAREClassescdafile shellplaycommand SOFTWAREClassesChat shellopencommand SOFTWAREClientsNewsForte Агент shellopencommand SOFTWAREClassesExcel.Sheet.8 shellopencommand SOFTWAREClassesftp shellopencommand SOFTWAREClassesgiffile shellopencommand SOFTWAREClasseshlpfile shellopencommand SOFTWAREClassesEudora DefaultIcon SOFTWAREClassesEudora shellopencommand SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand SOFTWAREClassesMicrosoft Internet News Message shellopencommand SOFTWAREClassesMOVFile shellopencommand SOFTWAREClassesMsi.Package shellopencommand SOFTWAREClassespcANYWHERE32 shellopencommand SOFTWAREClassesQuickView shellopencommand SOFTWAREClassesRealPlayer.RAM.6 shellopencommand SOFTWAREClassesWinamp.File shellopencommand SOFTWAREClassesUnfinished Загружает shellopencommand SOFTWAREClassesUltraEdit-32 Документ shellopencommand SOFTWAREClassesWhiteboard shellopencommand SOFTWAREClassesvcard_wab_auto_file shellopencommand SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe SOFTWAREKasperskyLabComponents102EXEName
При заражении каждого файла червь использует метод компаньон-инфекции: переименовывает файл-жертву в восьми-байтовое случайно сгенерированное имя с расширением .EXE (например: GTGUQPPA.EXE, XOHSKVXQ.EXE, и т.п.) и копирует свой код вместо заражаемого файла (замещает его). В результате копия червя будет выполняться всякий раз, когда пользователь или система выполняет зараженный файл.
Для того, чтобы возвратить управление обратно исходному файлу, червь сохраняет имена файлов в ключе реестра HKCUAppEventsSchemesApps.DefaultSystemStartWindows, например:
C:WIN95calc.exe "gtguqppa.exe" C:WIN95mplayer.exe "xohskvxq.exe" и т.п.
Эта информация может использоваться для лечения компьютера.
Чтобы не заражать файлы дважды, червь проверяет переменную FileVersion, которая хранится в файловых ресурсах PE EXE-файлов. В зараженных файлах эта переменная равна "1.3.5.7".
Заражение локальных и сетевых дисков
Червь также копирует себя и "регистрирует" свои копии на всех доступных логических дисках, включая сменные (флоппи) и сетевые. При заражении флоппи-дисков червь ищет на них файл AUTOEXEC.BAT и добавляет инструкцию, которая запускает PKZIP.EXE при загрузке с диска, а затем копирует себя на этот диск с именем PKZIP.EXE.
При заражении жестких дисков червь также копирует себя с именем в корневые каталоги этих дисков. Чтобы запустить свою копию червь создает там же файл AUTORUN.INF и записывает туда инструкцию, которая запускает файл PKZIP.EXE (копию червя) при следующем запуске Windows:
[autorun] open=pkzip.exe
При заражении удаленного диска червь прежде всего проверяет этот диск на возможность записи. Для этого что червь создает на нем файл TEMP9385.058 и удаляет это. В случае ошибки при создании файла вирус выходит из процедуры заражения. В противном случае (диск открыт на запись) копирует себя на этот диск с именем PKZIP.EXE и создает файл AUTORUN.INF (тем же способом, описанным выше). Кроме того червь ищет на диске каталоги Windows и WinNT и регистрирует свою копию PKZIP.EXE в файле WIN.INI в секции [Windows] "run=". Эта операция также вызывает выполнение копии червя при следующем старте Windows.
При заражении сетевых дисков червь также уничтожает там несколько исполняемых файлов (если они существуют) и записывает в них свою копию:
Acrobat3ReaderAcrord32.exe Eudora95Eudora.exe Program FilesMicrosoft OfficeOfficeOutlook.exe Program FilesInternet ExplorerIexplore.exe Program FilesWinZipWinZip32.exe Program FilesMicrosoft OfficeOfficeWinWord.exe Program FilesNetscapeProgramNetscape.exe
Заражение mIRC клиента и распространение через IRC каналы
Эта процедура выполняется в зависимости от системного времени (не каждый раз при запуске зараженных файлов). Вирус ищет mIRC клиента установленного в системе, получая файл сценария mIRC в следующих каталогах:
C:MIRCSCRIPT.INI C:MIRC32SCRIPT.INI C:Program FilesMIRCSCRIPT.INI C:Program FilesMIRC32SCRIPT.INI
Если такие файлы не существуют, то червь выходит из процедуры заражения. В противном случае он перезаписывает файл SCRIPT.INI инструкцией, которая посылает C:PKZIP.EXE файл каждому входящему в активный mIRC-канал.
Посылка зараженных сообщений по e-mail
Эта процедура выполняется в зависимости от системного времени также, как и процедура заражения mIRC. Прежде всего червь получает имя каталога электронной почты Eudora - считывает его из ключа реестра: SoftwareQualcommEudoraCommandLine. Затем червь сканирует базу данных исходящей почты (файл OUT.MBX) и "вытаскивает" оттуда адреса e-mail (адреса, по которым ведется переписка с зараженного компьютера), а затем посылает по этим адресам зараженное сообщение. Похоже, что в список рассылки червь также добавляет адрес support@microsoft.com.
Затем червь подготавливает файл C:USER.MSG, который будет использоваться для инициализации почтовой системы Eudora. Червь записывает туда все необходимые данные для отправки зараженных файлов:
To: список адресов из OUT.MBX файла, плюс "support@microsoft.com" Subject: here's what u requested Х-Attachments: c:pkzip.exe; Message Body: You had requested this a while back, so here you are. Enjoy.
Червь затем открывает файл C:USER.MSG при помощи функции Windows, которая активизирует отправку сообщений Eudora.
Кража файлов-паролей
При инсталляции в систему и при заражении файлов червь также ищет файлы паролей Windows (.PWL-файлы), читает оттуда пароли и присоединяет их к своему телу.
Червь не посылает пароли по Internet-адресам, а просто сохраняет их в зараженных файлах. В результате украденные пароли покидают компьютер только в том случае, если червь посылает свои копии в Internet или IRC-каналы.
Проявления
Червь соджерижт множество процедур, которые активизируются в зависимости от
системной даты и времени. Эти процедуры:
- остановливают компьютер, запуская неограниченное количество процессов
(threads)
- устанавливают "AutoRefresh=0".в ключе реестра
DEFAULTSoftwareMicrosoftRegEdt32Settings
- изменяют установочные параметры Internet Explorer путем перезаписи ключа
реестра SOFTWAREMicrosoftInternet ExplorerMain, червь устанавливает в
качестве стартовой страницы http://www.whitehouse.com/, а в качестве
поисковой страницы http://www.bigboobies.com, а также блокирует обновление
кеш Internet.
- путем перезаписи ключей реестра SOFTWAREMicrosoftInternet
ExplorerSearchUrl и SOFTWAREMicrosoftInternet ExplorerTypedURLs червь
устанавливает в качестве последней посещаемой страницы Web-страницу
http://www.gayextreme.com/queer/handle-it.html; устанавливает параметр
"SearchURL" в http://www.fetishrealm.com/fatgirls/pic3.htm;
- путем перезаписи ключа реестра SoftwareMirabilisICQBookmarks
устанавливает:
основную страницу в http://www.biggfantac.com/terra/index.html,
страницу поддержки в http://www.pornoparty.net,
меню в http://www.gayextreme.com/queer/handle-it.html.
- удаляет все ключи из:
SOFTWAREMicrosoftWindowsCurrentVersionUninstall или
SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones
- переустанавливает следующие параметры Windows:
RegisteredOwner = "Idiot with a Virus"
RegisteredOrganization and ProductID = "Registry Rage Virus й1999"
- создает файлы C:POEM1.TXT или C:POEM2.TXT и записывает туда один из
следующих текстов (смотри ниже), а затем открывает их с помощью
NOTEPAD.EXE. Тексты выглядят так:
To earn for the body and the mind whatever adheres and goes forward
and is not dropt by death;
I will effuse egotism and show it underlying all, and I will be the
bard of personality,
And I will show of male and female that either is but the equal of
the other,
And I will show that there is no imperfection in the present, and
can be none in the future,
And I will show that whatever happens to anybody it may be turn'd to
beautiful results,
And I will show that nothing can happen more beautiful than death ...
- Walt Whitman
Nothing divine dies. All good is eternally reproductive. The beauty of
nature reforms itself in the mind, and not for barren contemplation,
but for new creation.
All men are in some degree impressed by the face of the world; some men
even to delight. This love of beauty is Taste. Others have the same love
in such excess, that, not content with admiring, they seek to embody
it in new forms. The creation of beauty is Art.
- Ralph Waldo Emerson
Червь также стирает различные файлы Windows, модифицирует установочные параметры Windows, минимизирует параметры Backup и ScanDisk, стирает Backup реестра и т.д.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com