Класс
Email-Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Общая характеристика

Интернет-червь, распространяющий себя при помощи зараженных писем. Работоспособен только в китайской версии Windows. Состоит из двух компонент: скрипт-программы и выполняемого файла Windows (PE EXE-файл). Первая компонента (скрипт) распространяется в письмах электронной почты, активизируется на заражаемой машине, "дотаскивает" EXE-компоненту (содержащую процедуры дальнейнего распространения вируса) и запускает ее на выполнение.

Внедрение в систему

Червь попадает на компьютер в виде электронного письма в формате HTML с вложенной в него скрипт-программой на языке JavaScript. При открытии письма этот скрипт автоматически выполняется редактором писем, и код червя получает управление.

Замечание:
современные интернет-броузеры и Email-системы содержат встроенные системы защиты, которые не позволяют вложенным в письма скрипт-программам выполнять опасные действия (получать доступ к файлам, использовать системные функции и т.п.). Для своего распространения червю необходимо получить доступ к этим функциям - и червь делает это, используя "дыру" в системе защиты Internet Explorer 5 (эта дыра получина название "Scriptlet.Typelib vulnerability").

Будучи активизированным, червь через описанную выше "дыру" в защите получает доступ к дисковым файлам и устанавливает себя в систему. Для этого он ищет стартовый каталог Windows, используя набор постоянных строк:

C:WINDOWSStart MenuPrograms-T-╕
C:WINDOWStart MenuPrograms-T-╕
C:WINStart MenuPrograms-T-╕
C:WIN98Start MenuPrograms-T-╕
C:WIN95Start MenuPrograms-T-╕
C:WINDOWS.000Start MenuPrograms-T-╕
C:WINDOWS.001Start MenuPrograms-T-╕
D:WINDOWSStart MenuPrograms-T-╕
D:WINDOWStart MenuPrograms-T-╕
D:WINStart MenuPrograms-T-╕
D:WIN98Start MenuPrograms-T-╕
D:WIN95Start MenuPrograms-T-╕
D:WINDOWS.000Start MenuPrograms-T-╕
D:WINDOWS.001Start MenuPrograms-T-╕

В том случае, если таковых каталогов на компьютере нет, червь не в состоянии заразить систему и дальнейшее его распространение невозможно. Поскольку последние символы в каждой строке являются китайскими именами каталога авто-запуска Windows, червь работоспособен только в китайской версии Windows.

Если какой-либо из перечисленных выше каталогов обнаружен, червь создает в нем HTA-файл "Microsoft Internet Explorer.hta" и записывает в него программу в формате "HTML Application". Эта программа содержит еще один скрипт, который будет автоматически выполнен Windows при следующей перезагрузке (поскольку данный файл создан в каталоге авто-запуска Windows).

Когда HTA-файл запускается на выполнение, скрипт червя продолжает инсталляцию червя в систему. Для этого он создает файл MSIE.INI с системном каталоге Windows и запоминает в нем SMTP-адрес интернет-сервера (червь достает его из системного реестра).

Замечание:
адресом SMTP-сервера является некоторый сетевой адрес, на который отправляется электронная почта, т.е. адрес почтового сервера. Червь использует этот адрес в дальнейшем при рассылке зараженных писем.

Затем червь создает каталог "system" в системном каталоге Windows (например, C:WINDOWSSYSTEMsystem) и пытается загрузить из Интернет в этот каталог файл MSIE.EXE. Для этого червь обращается на различные ftp-сервера по 10 различным IP-адресам и ищет там этот EXE-файл (этот файл заранее помещен туда автором червя). Если этот файл не обнаружен, червь повторяет попытки каждые 3 минуты.

Когда файл MSIE.EXE получен, червь запускает его на выполнение. Этот файл представляет из себя самораспаковывающийся архив с двумя файлами внутри:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE является второй компонентой червя (EXE-файл Windows), а файл MSWINSCK.OCX является библиотекой работы с системными сокетами (необходимыми для отсылки зараженных писем).

Затем червь запускает файл EXPLORER.EXE, который ищет различные электронные адреса и рассылает по ним зараженные письма, в которые вкладывает свою первую скрипт-компоненту. При рассылке писем червь использует SMTP-протокол. При поиске Интернет адресов червь сканирует все доступные диски, ищет в дереве подкаталогов файлы *.NCH, *.SNM, *.DBX (почтовые базы данных) и достает из них строки, похожие на Интернет-адреса.

EXE-компонента червя выполняет также дополнительные функции: уничтожает следы работы первой скрипт-компоненты (удаляет файлы MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE); регистрирует себя на авто-запуск (командой "run=" в файле WIN.INI); и также отправляет своему автору информацию о зараженной машине. Эта информация отправляется по одному из 23 адресов (конкретный адрес выбирается случайно):

leebill_001@yahoo.com
leebill_002@yahoo.com
...
leebill_023@yahoo.com

Шпионские функции

EXE-компонента червя также выполняет шпионские ("backdoor") функции: постоянно "слушает" порты и при появлении "хозяина" следует его инструкциям: передает ему содержимое каталогов и указанные файлы, создает новые файлы, удаляет их или запускает на выполнение.

Способы защиты

Самый надежный способ защиты от червей подобного типа - установить "заплатку" к Internet Explorer, который был выпущен Microsoft. Патч доступен по адресу: http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP.

В случае, если при работе не используются "HTML applications" (HTA-Файлы), то более простым способом защиты является удаление ссылки на .HTA из списка зарегистрированных расширений файлов в системном реестре. Для этого следует:

1. Активизировать иконку "My Computer" ("Мой компьютер")
2. Выбрать из меню "View" -> "Options...".
3. На пункте "File Types" перейти в список "Registered file types"
и найти "HTML Applicaton" item.
4. При мопощи кнопки "Remove" удалить эту ссылку.
5. Закрыть окно.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.