Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsОбщая характеристикаИнтернет-червь, распространяющий себя при помощи зараженных писем. Работоспособен только в китайской версии Windows. Состоит из двух компонент: скрипт-программы и выполняемого файла Windows (PE EXE-файл). Первая компонента (скрипт) распространяется в письмах электронной почты, активизируется на заражаемой машине, «дотаскивает» EXE-компоненту (содержащую процедуры дальнейнего распространения вируса) и запускает ее на выполнение. Внедрение в системуЧервь попадает на компьютер в виде электронного письма в формате HTML с вложенной в него скрипт-программой на языке JavaScript. При открытии письма этот скрипт автоматически выполняется редактором писем, и код червя получает управление. Замечание: Будучи активизированным, червь через описанную выше «дыру» в защите получает доступ к дисковым файлам и устанавливает себя в систему. Для этого он ищет стартовый каталог Windows, используя набор постоянных строк:
В том случае, если таковых каталогов на компьютере нет, червь не в состоянии заразить систему и дальнейшее его распространение невозможно. Поскольку последние символы в каждой строке являются китайскими именами каталога авто-запуска Windows, червь работоспособен только в китайской версии Windows. Если какой-либо из перечисленных выше каталогов обнаружен, червь создает в нем HTA-файл «Microsoft Internet Explorer.hta» и записывает в него программу в формате «HTML Application». Эта программа содержит еще один скрипт, который будет автоматически выполнен Windows при следующей перезагрузке (поскольку данный файл создан в каталоге авто-запуска Windows). Когда HTA-файл запускается на выполнение, скрипт червя продолжает инсталляцию червя в систему. Для этого он создает файл MSIE.INI с системном каталоге Windows и запоминает в нем SMTP-адрес интернет-сервера (червь достает его из системного реестра). Замечание: Затем червь создает каталог «system» в системном каталоге Windows (например, C:WINDOWSSYSTEMsystem) и пытается загрузить из Интернет в этот каталог файл MSIE.EXE. Для этого червь обращается на различные ftp-сервера по 10 различным IP-адресам и ищет там этот EXE-файл (этот файл заранее помещен туда автором червя). Если этот файл не обнаружен, червь повторяет попытки каждые 3 минуты. Когда файл MSIE.EXE получен, червь запускает его на выполнение. Этот файл представляет из себя самораспаковывающийся архив с двумя файлами внутри:
EXPLORER.EXE является второй компонентой червя (EXE-файл Windows), а файл MSWINSCK.OCX является библиотекой работы с системными сокетами (необходимыми для отсылки зараженных писем). Затем червь запускает файл EXPLORER.EXE, который ищет различные электронные адреса и рассылает по ним зараженные письма, в которые вкладывает свою первую скрипт-компоненту. При рассылке писем червь использует SMTP-протокол. При поиске Интернет адресов червь сканирует все доступные диски, ищет в дереве подкаталогов файлы *.NCH, *.SNM, *.DBX (почтовые базы данных) и достает из них строки, похожие на Интернет-адреса. EXE-компонента червя выполняет также дополнительные функции: уничтожает следы работы первой скрипт-компоненты (удаляет файлы MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE); регистрирует себя на авто-запуск (командой «run=» в файле WIN.INI); и также отправляет своему автору информацию о зараженной машине. Эта информация отправляется по одному из 23 адресов (конкретный адрес выбирается случайно):
Шпионские функцииEXE-компонента червя также выполняет шпионские («backdoor») функции: постоянно «слушает» порты и при появлении «хозяина» следует его инструкциям: передает ему содержимое каталогов и указанные файлы, создает новые файлы, удаляет их или запускает на выполнение. Способы защитыСамый надежный способ защиты от червей подобного типа — установить «заплатку» к Internet Explorer, который был выпущен Microsoft. Патч доступен по адресу: http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP. В случае, если при работе не используются «HTML applications» (HTA-Файлы), то более простым способом защиты является удаление ссылки на .HTA из списка зарегистрированных расширений файлов в системном реестре. Для этого следует:
|
Узнай статистику распространения угроз в твоем регионе |