Email-Worm.Win32.Unicle

Technical Details

Общая характеристика

Интернет-червь, распространяющий себя при помощи зараженных писем. Работоспособен только в китайской версии Windows. Состоит из двух компонент: скрипт-программы и выполняемого файла Windows (PE EXE-файл). Первая компонента (скрипт) распространяется в письмах электронной почты, активизируется на заражаемой машине, «дотаскивает» EXE-компоненту (содержащую процедуры дальнейнего распространения вируса) и запускает ее на выполнение.

Внедрение в систему

Червь попадает на компьютер в виде электронного письма в формате HTML с вложенной в него скрипт-программой на языке JavaScript. При открытии письма этот скрипт автоматически выполняется редактором писем, и код червя получает управление.

Замечание:

современные интернет-броузеры и Email-системы содержат встроенные системы защиты, которые не позволяют вложенным в письма скрипт-программам выполнять опасные действия (получать доступ к файлам, использовать системные функции и т.п.). Для своего распространения червю необходимо получить доступ к этим функциям — и червь делает это, используя «дыру» в системе защиты Internet Explorer 5 (эта дыра получина название «Scriptlet.Typelib vulnerability»).

Будучи активизированным, червь через описанную выше «дыру» в защите получает доступ к дисковым файлам и устанавливает себя в систему. Для этого он ищет стартовый каталог Windows, используя набор постоянных строк:

C:WINDOWSStart MenuPrograms-T-╕
C:WINDOWStart MenuPrograms-T-╕
C:WINStart MenuPrograms-T-╕
C:WIN98Start MenuPrograms-T-╕
C:WIN95Start MenuPrograms-T-╕
C:WINDOWS.000Start MenuPrograms-T-╕
C:WINDOWS.001Start MenuPrograms-T-╕
D:WINDOWSStart MenuPrograms-T-╕
D:WINDOWStart MenuPrograms-T-╕
D:WINStart MenuPrograms-T-╕
D:WIN98Start MenuPrograms-T-╕
D:WIN95Start MenuPrograms-T-╕
D:WINDOWS.000Start MenuPrograms-T-╕
D:WINDOWS.001Start MenuPrograms-T-╕

В том случае, если таковых каталогов на компьютере нет, червь не в состоянии заразить систему и дальнейшее его распространение невозможно. Поскольку последние символы в каждой строке являются китайскими именами каталога авто-запуска Windows, червь работоспособен только в китайской версии Windows.

Если какой-либо из перечисленных выше каталогов обнаружен, червь создает в нем HTA-файл «Microsoft Internet Explorer.hta» и записывает в него программу в формате «HTML Application». Эта программа содержит еще один скрипт, который будет автоматически выполнен Windows при следующей перезагрузке (поскольку данный файл создан в каталоге авто-запуска Windows).

Когда HTA-файл запускается на выполнение, скрипт червя продолжает инсталляцию червя в систему. Для этого он создает файл MSIE.INI с системном каталоге Windows и запоминает в нем SMTP-адрес интернет-сервера (червь достает его из системного реестра).

Замечание:
адресом SMTP-сервера является некоторый сетевой адрес, на который отправляется электронная почта, т.е. адрес почтового сервера. Червь использует этот адрес в дальнейшем при рассылке зараженных писем.

Затем червь создает каталог «system» в системном каталоге Windows (например, C:WINDOWSSYSTEMsystem) и пытается загрузить из Интернет в этот каталог файл MSIE.EXE. Для этого червь обращается на различные ftp-сервера по 10 различным IP-адресам и ищет там этот EXE-файл (этот файл заранее помещен туда автором червя). Если этот файл не обнаружен, червь повторяет попытки каждые 3 минуты.

Когда файл MSIE.EXE получен, червь запускает его на выполнение. Этот файл представляет из себя самораспаковывающийся архив с двумя файлами внутри:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE является второй компонентой червя (EXE-файл Windows), а файл MSWINSCK.OCX является библиотекой работы с системными сокетами (необходимыми для отсылки зараженных писем).

Затем червь запускает файл EXPLORER.EXE, который ищет различные электронные адреса и рассылает по ним зараженные письма, в которые вкладывает свою первую скрипт-компоненту. При рассылке писем червь использует SMTP-протокол. При поиске Интернет адресов червь сканирует все доступные диски, ищет в дереве подкаталогов файлы *.NCH, *.SNM, *.DBX (почтовые базы данных) и достает из них строки, похожие на Интернет-адреса.

EXE-компонента червя выполняет также дополнительные функции: уничтожает следы работы первой скрипт-компоненты (удаляет файлы MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE); регистрирует себя на авто-запуск (командой «run=» в файле WIN.INI); и также отправляет своему автору информацию о зараженной машине. Эта информация отправляется по одному из 23 адресов (конкретный адрес выбирается случайно):

leebill_001@yahoo.com
leebill_002@yahoo.com
…
leebill_023@yahoo.com

Шпионские функции

EXE-компонента червя также выполняет шпионские («backdoor») функции: постоянно «слушает» порты и при появлении «хозяина» следует его инструкциям: передает ему содержимое каталогов и указанные файлы, создает новые файлы, удаляет их или запускает на выполнение.

Способы защиты

Самый надежный способ защиты от червей подобного типа — установить «заплатку» к Internet Explorer, который был выпущен Microsoft. Патч доступен по адресу: http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP.

В случае, если при работе не используются «HTML applications» (HTA-Файлы), то более простым способом защиты является удаление ссылки на .HTA из списка зарегистрированных расширений файлов в системном реестре. Для этого следует:

1. Активизировать иконку «My Computer» («Мой компьютер»)
2. Выбрать из меню «View» -> «Options…».
3. На пункте «File Types» перейти в список «Registered file types»
и найти «HTML Applicaton» item.
4. При мопощи кнопки «Remove» удалить эту ссылку.
5. Закрыть окно.