Email-Worm.Win32.SysClock

Technical Details

Internet червь (вирус типа червь), распространяющий через e-mail, IRC
каналы, заражающий файлы на локальных компьютерах и распространяющий себя
по локальной сети. Ворует системные пароли (PWL файлы) на зараженных
компьютерах, проявляет себя множеством способов.

Червь представляет из себя 80Kb Win32-программу (PE EXE), написанную на
языке программирования Delphi. «Чистый» код червя занимает около 20Kb, а
остальное — код Delphi run-time библиотек, данные, и прочая информация.

Червь прибывает по e-mail в виде фальшивого сообщения (смотри ниже) c
подключенным PKZIP.EXE файлом, который и является червем. При запуске червь
устанавливается в систему, заражает файлы на локальном компьютере, передает
свои копии на доступные логические диски (включая сетевые), поражает
mIRC-клиента (если таковой установлен), и посылает зараженные сообщения по
электронной почте, используя для этого почтовую систему Eudora.

Инсталляция в систему

При внедрении своего кода в систему червь копирует себя под именем
KERNEL.EXE в каталог Windows (в случае Win95/98) или в системный каталог
Windows (в случае WinNT) и регистрирует себя в системном реестре как
авто-исполняемую программу:

SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock=kernel.exe

Червь также имеет процедуру дополнительной установки, которая устанавливает
копии червя на все доступные диски. Эта процедура описывается ниже.

Заражение компьютера

Червь заражает всего около 40 файлов на компьютере, при этом заражает не
более четырех файлов при каждом запуске. Червь заражает следующие файлы в
каталоге Windows:

NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE,
WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE,
TASKMGR.EXE, USRMGR.EXE

Затем червь заражает программы, которые связаны со следующими ключами
реестра:

SOFTWAREClassesAccess.Application.8   shellopencommand

SOFTWAREClassesAudioCD                shellplaycommand

SOFTWAREClassesAVIFile                shellplaycommand

SOFTWAREClassescdafile                shellplaycommand

SOFTWAREClassesChat                   shellopencommand

SOFTWAREClientsNewsForte Агент shellopencommand

SOFTWAREClassesExcel.Sheet.8          shellopencommand

SOFTWAREClassesftp                    shellopencommand

SOFTWAREClassesgiffile                shellopencommand

SOFTWAREClasseshlpfile                shellopencommand

SOFTWAREClassesEudora DefaultIcon

SOFTWAREClassesEudora                 shellopencommand

SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand

SOFTWAREClassesMicrosoft Internet News Message shellopencommand

SOFTWAREClassesMOVFile                shellopencommand

SOFTWAREClassesMsi.Package            shellopencommand

SOFTWAREClassespcANYWHERE32           shellopencommand

SOFTWAREClassesQuickView              shellopencommand

SOFTWAREClassesRealPlayer.RAM.6       shellopencommand

SOFTWAREClassesWinamp.File            shellopencommand

SOFTWAREClassesUnfinished Загружает shellopencommand

SOFTWAREClassesUltraEdit-32 Документ shellopencommand

SOFTWAREClassesWhiteboard             shellopencommand

SOFTWAREClassesvcard_wab_auto_file    shellopencommand

SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe

SOFTWAREKasperskyLabComponents102EXEName

При заражении каждого файла червь использует метод
компаньон-инфекции: переименовывает файл-жертву в восьми-байтовое
случайно сгенерированное имя с расширением .EXE (например: GTGUQPPA.EXE,
XOHSKVXQ.EXE, и т.п.) и копирует свой код вместо заражаемого файла
(замещает его). В результате копия червя будет выполняться всякий раз,
когда пользователь или система выполняет зараженный файл.

Для того, чтобы возвратить управление обратно исходному файлу, червь
сохраняет имена файлов в ключе реестра HKCUAppEventsSchemesApps.DefaultSystemStartWindows, например:

C:WIN95calc.exe     «gtguqppa.exe»

C:WIN95mplayer.exe  «xohskvxq.exe»

и т.п.

Эта информация может использоваться для лечения компьютера.

Чтобы не заражать файлы дважды, червь проверяет переменную FileVersion,
которая хранится в файловых ресурсах PE EXE-файлов. В зараженных файлах эта
переменная равна «1.3.5.7».

Заражение локальных и сетевых дисков

Червь также копирует себя и «регистрирует» свои копии на всех доступных
логических дисках, включая сменные (флоппи) и сетевые. При заражении
флоппи-дисков червь ищет на них файл AUTOEXEC.BAT и добавляет инструкцию,
которая запускает PKZIP.EXE при загрузке с диска, а затем копирует себя на
этот диск с именем PKZIP.EXE.

При заражении жестких дисков червь также копирует себя с именем в корневые
каталоги этих дисков. Чтобы запустить свою копию червь создает там же файл
AUTORUN.INF и записывает туда инструкцию, которая запускает файл PKZIP.EXE
(копию червя) при следующем запуске Windows:

[autorun]

open=pkzip.exe

При заражении удаленного диска червь прежде всего проверяет этот диск на
возможность записи. Для этого что червь создает на нем файл TEMP9385.058 и
удаляет это. В случае ошибки при создании файла вирус выходит из процедуры
заражения. В противном случае (диск открыт на запись) копирует себя на этот
диск с именем PKZIP.EXE и создает файл AUTORUN.INF (тем же способом,
описанным выше). Кроме того червь ищет на диске каталоги Windows и WinNT
и регистрирует свою копию PKZIP.EXE в файле WIN.INI в секции [Windows]
«run=». Эта операция также вызывает выполнение копии червя при следующем
старте Windows.

При заражении сетевых дисков червь также уничтожает там несколько
исполняемых файлов (если они существуют) и записывает в них свою копию:

Acrobat3ReaderAcrord32.exe

Eudora95Eudora.exe

Program FilesMicrosoft OfficeOfficeOutlook.exe

Program FilesInternet ExplorerIexplore.exe

Program FilesWinZipWinZip32.exe

Program FilesMicrosoft OfficeOfficeWinWord.exe

Program FilesNetscapeProgramNetscape.exe

Заражение mIRC клиента и распространение через IRC каналы

Эта процедура выполняется в зависимости от системного времени (не каждый
раз при запуске зараженных файлов). Вирус ищет mIRC клиента установленного
в системе, получая файл сценария mIRC в следующих каталогах:

C:MIRCSCRIPT.INI

C:MIRC32SCRIPT.INI

C:Program FilesMIRCSCRIPT.INI

C:Program FilesMIRC32SCRIPT.INI

Если такие файлы не существуют, то червь выходит из процедуры заражения. В
противном случае он перезаписывает файл SCRIPT.INI инструкцией, которая
посылает C:PKZIP.EXE файл каждому входящему в активный mIRC-канал.

Посылка зараженных сообщений по e-mail

Эта процедура выполняется в зависимости от системного времени также, как и
процедура заражения mIRC. Прежде всего червь получает имя каталога
электронной почты Eudora — считывает его из ключа реестра:
SoftwareQualcommEudoraCommandLine. Затем червь сканирует базу данных
исходящей почты (файл OUT.MBX) и «вытаскивает» оттуда адреса e-mail
(адреса, по которым ведется переписка с зараженного компьютера), а затем
посылает по этим адресам зараженное сообщение. Похоже, что в список
рассылки червь также добавляет адрес support@microsoft.com.

Затем червь подготавливает файл C:USER.MSG, который будет использоваться
для инициализации почтовой системы Eudora. Червь записывает туда все
необходимые данные для отправки зараженных файлов:

To: список адресов из OUT.MBX файла, плюс «support@microsoft.com»

Subject: here’s what u requested

Х-Attachments: c:pkzip.exe;

Message Body:

You had requested this a while back, so here you are.

Enjoy.

Червь затем открывает файл C:USER.MSG при помощи функции Windows, которая
активизирует отправку сообщений Eudora.

Кража файлов-паролей

При инсталляции в систему и при заражении файлов червь также ищет файлы
паролей Windows (.PWL-файлы), читает оттуда пароли и присоединяет их к
своему телу.

Червь не посылает пароли по Internet-адресам, а просто сохраняет их в
зараженных файлах. В результате украденные пароли покидают компьютер только
в том случае, если червь посылает свои копии в Internet или IRC-каналы.

Проявления

Червь соджерижт множество процедур, которые активизируются в зависимости от
системной даты и времени. Эти процедуры:

— остановливают компьютер, запуская неограниченное количество процессов
(threads)

— устанавливают «AutoRefresh=0».в ключе реестра
DEFAULTSoftwareMicrosoftRegEdt32Settings

— изменяют установочные параметры Internet Explorer путем перезаписи ключа
реестра SOFTWAREMicrosoftInternet ExplorerMain, червь устанавливает в
качестве стартовой страницы http://www.whitehouse.com/, а в качестве
поисковой страницы http://www.bigboobies.com, а также блокирует обновление
кеш Internet.

— путем перезаписи ключей реестра SOFTWAREMicrosoftInternet
ExplorerSearchUrl и SOFTWAREMicrosoftInternet ExplorerTypedURLs червь
устанавливает в качестве последней посещаемой страницы Web-страницу
http://www.gayextreme.com/queer/handle-it.html; устанавливает параметр
«SearchURL» в http://www.fetishrealm.com/fatgirls/pic3.htm;

— путем перезаписи ключа реестра SoftwareMirabilisICQBookmarks
устанавливает:

основную страницу в http://www.biggfantac.com/terra/index.html,
страницу поддержки в http://www.pornoparty.net,
меню в http://www.gayextreme.com/queer/handle-it.html.
— удаляет все ключи из:

SOFTWAREMicrosoftWindowsCurrentVersionUninstall или
SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones
— переустанавливает следующие параметры Windows:

RegisteredOwner = «Idiot with a Virus»
RegisteredOrganization and ProductID = «Registry Rage Virus й1999»
— создает файлы C:POEM1.TXT или C:POEM2.TXT и записывает туда один из
следующих текстов (смотри ниже), а затем открывает их с помощью
NOTEPAD.EXE. Тексты выглядят так:

To earn for the body and the mind whatever adheres and goes forward
and is not dropt by death;
I will effuse egotism and show it underlying all, and I will be the
bard of personality,
And I will show of male and female that either is but the equal of
the other,
And I will show that there is no imperfection in the present, and
can be none in the future,
And I will show that whatever happens to anybody it may be turn’d to
beautiful results,
And I will show that nothing can happen more beautiful than death …
— Walt Whitman

Nothing divine dies. All good is eternally reproductive. The beauty of
nature reforms itself in the mind, and not for barren contemplation,
but for new creation.
All men are in some degree impressed by the face of the world; some men
even to delight. This love of beauty is Taste. Others have the same love
in such excess, that, not content with admiring, they seek to embody
it in new forms. The creation of beauty is Art.
— Ralph Waldo Emerson

Червь также стирает различные файлы Windows, модифицирует установочные
параметры Windows, минимизирует параметры Backup и ScanDisk, стирает Backup
реестра и т.д.