Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Интернет-червь, распространяющийся как вложенный файл в письмах электронной почты. Является приложением Win32 (PE EXE-файл). Написан на Delphi и упакован утилитой компрессии PE EXE-файлов Aspack. Упакованный размер червя - около 200K (распакованный - около 400K).
Червь инсталлирует себя в систему и затем периодически получает доступ к MS Outlook и рассылает письма по адресам, обнаруженным в адресной книге. Процедур уничтожения данных и прочих "вредных" подпрограмм в коде червя не обнаружено.
Для того, чтобы скрыть свою активность, червь маскируется под утилиту генерации персональных ID-номеров ("Personal ID Generator"). Эта утилита использует строки в китайской кодировке и потому корректно отображается только под китайской версией Windows.
При активизации червь показывает окно "Personal ID Generator" и в то же самое время запускает процедуру инсталляции в систему: копирует себя в каталог Windows и системный каталог Windows. В некоторых случаях червь использует фиксированные адреса каталогов Windows:
C:WINNTSYSTEM32SYSID.EXE
C:WINNTSYSID.EXE
C:WINDOWSSYSTEMSYSID.EXE
C:WINDOWSSYSID.EXE
Для того, чтобы активизироваться при каждом старте Windows червь также регистрирует свою копию в системном реестре в секции авто-запуска:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"
Червь использует достаточно "хитрый" прием для того, чтобы скрыть эту запись: при запуске червь уничтожает эту запись, а при завершении работы Windows восстанавливает ее. В результате эта запись присутствует только в момент старта Windows и завершения работы Windows и не может быть обнаружена стандартными методами.
Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает туда программу работы с MS Outlook. Эта программа получает доступ к адресной книге MS Outlook, случайно выбирает от 2% до 10% адресов (в зависимости от их количества) и посылает по этим адресам письма с прикрепленными файлами.
Тело посылаемого письма пустое. Текст заголовка случайно выбирается из всех вариантов заголовков ранее отправленных писем ("Sent items"). К письму прикрепляется 4 файла:
- файл-червь с именем, случайно выбранным из 200 вариантов (см. ниже)
- один случайно выбранный файл из всех .JPEG-, .JPG-, .DOC- и .XLS-файлов из каталога "C:My Documents"
- два письма, случайно выбранных из списка ранее отправленных писем ("Sent items")
Список вариантов имени файла-червя выглядит следующим образом:
pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Take a Rest.exe
Take Easy.exe
Do not over time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Click Me.exe
Apple.exe
New Product Show.exe
My Resume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
My Letter.exe
My Sister.exe
My Mother.exe
My Father.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
How Are You.exe
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
The Young King.exe
Oscar.exe
The Happy Prince.exe
The Star Child.exe
Question.exe
Issues For Today.exe
Acknowledgments.exe
Game99.exe
True or False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Choose Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
New System.exe
New Job.exe
New Chance.exe
Make More Money.exe
Help Yourself.exe
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com