Email-Worm.Win32.Unicle

Technical Details

Общая характеристика

Интернет-червь, распространяющий себя при помощи зараженных писем. Работоспособен только в китайской версии Windows. Состоит из двух компонент: скрипт-программы и выполняемого файла Windows (PE EXE-файл). Первая компонента (скрипт) распространяется в письмах электронной почты, активизируется на заражаемой машине, “дотаскивает” EXE-компоненту (содержащую процедуры дальнейнего распространения вируса) и запускает ее на выполнение.

Внедрение в систему

Червь попадает на компьютер в виде электронного письма в формате HTML с вложенной в него скрипт-программой на языке JavaScript. При открытии письма этот скрипт автоматически выполняется редактором писем, и код червя получает управление.

Замечание:

современные интернет-броузеры и Email-системы содержат встроенные системы защиты, которые не позволяют вложенным в письма скрипт-программам выполнять опасные действия (получать доступ к файлам, использовать системные функции и т.п.). Для своего распространения червю необходимо получить доступ к этим функциям – и червь делает это, используя “дыру” в системе защиты Internet Explorer 5 (эта дыра получина название “Scriptlet.Typelib vulnerability”).

Будучи активизированным, червь через описанную выше “дыру” в защите получает доступ к дисковым файлам и устанавливает себя в систему. Для этого он ищет стартовый каталог Windows, используя набор постоянных строк:

C:WINDOWSStart MenuPrograms-T-╕
C:WINDOWStart MenuPrograms-T-╕
C:WINStart MenuPrograms-T-╕
C:WIN98Start MenuPrograms-T-╕
C:WIN95Start MenuPrograms-T-╕
C:WINDOWS.000Start MenuPrograms-T-╕
C:WINDOWS.001Start MenuPrograms-T-╕
D:WINDOWSStart MenuPrograms-T-╕
D:WINDOWStart MenuPrograms-T-╕
D:WINStart MenuPrograms-T-╕
D:WIN98Start MenuPrograms-T-╕
D:WIN95Start MenuPrograms-T-╕
D:WINDOWS.000Start MenuPrograms-T-╕
D:WINDOWS.001Start MenuPrograms-T-╕

В том случае, если таковых каталогов на компьютере нет, червь не в состоянии заразить систему и дальнейшее его распространение невозможно. Поскольку последние символы в каждой строке являются китайскими именами каталога авто-запуска Windows, червь работоспособен только в китайской версии Windows.

Если какой-либо из перечисленных выше каталогов обнаружен, червь создает в нем HTA-файл “Microsoft Internet Explorer.hta” и записывает в него программу в формате “HTML Application”. Эта программа содержит еще один скрипт, который будет автоматически выполнен Windows при следующей перезагрузке (поскольку данный файл создан в каталоге авто-запуска Windows).

Когда HTA-файл запускается на выполнение, скрипт червя продолжает инсталляцию червя в систему. Для этого он создает файл MSIE.INI с системном каталоге Windows и запоминает в нем SMTP-адрес интернет-сервера (червь достает его из системного реестра).

Замечание:
адресом SMTP-сервера является некоторый сетевой адрес, на который отправляется электронная почта, т.е. адрес почтового сервера. Червь использует этот адрес в дальнейшем при рассылке зараженных писем.

Затем червь создает каталог “system” в системном каталоге Windows (например, C:WINDOWSSYSTEMsystem) и пытается загрузить из Интернет в этот каталог файл MSIE.EXE. Для этого червь обращается на различные ftp-сервера по 10 различным IP-адресам и ищет там этот EXE-файл (этот файл заранее помещен туда автором червя). Если этот файл не обнаружен, червь повторяет попытки каждые 3 минуты.

Когда файл MSIE.EXE получен, червь запускает его на выполнение. Этот файл представляет из себя самораспаковывающийся архив с двумя файлами внутри:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE является второй компонентой червя (EXE-файл Windows), а файл MSWINSCK.OCX является библиотекой работы с системными сокетами (необходимыми для отсылки зараженных писем).

Затем червь запускает файл EXPLORER.EXE, который ищет различные электронные адреса и рассылает по ним зараженные письма, в которые вкладывает свою первую скрипт-компоненту. При рассылке писем червь использует SMTP-протокол. При поиске Интернет адресов червь сканирует все доступные диски, ищет в дереве подкаталогов файлы *.NCH, *.SNM, *.DBX (почтовые базы данных) и достает из них строки, похожие на Интернет-адреса.

EXE-компонента червя выполняет также дополнительные функции: уничтожает следы работы первой скрипт-компоненты (удаляет файлы MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE); регистрирует себя на авто-запуск (командой “run=” в файле WIN.INI); и также отправляет своему автору информацию о зараженной машине. Эта информация отправляется по одному из 23 адресов (конкретный адрес выбирается случайно):

leebill_001@yahoo.com
leebill_002@yahoo.com
…
leebill_023@yahoo.com

Шпионские функции

EXE-компонента червя также выполняет шпионские (“backdoor”) функции: постоянно “слушает” порты и при появлении “хозяина” следует его инструкциям: передает ему содержимое каталогов и указанные файлы, создает новые файлы, удаляет их или запускает на выполнение.

Способы защиты

Самый надежный способ защиты от червей подобного типа – установить “заплатку” к Internet Explorer, который был выпущен Microsoft. Патч доступен по адресу: http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP.

В случае, если при работе не используются “HTML applications” (HTA-Файлы), то более простым способом защиты является удаление ссылки на .HTA из списка зарегистрированных расширений файлов в системном реестре. Для этого следует:

1. Активизировать иконку “My Computer” (“Мой компьютер”)
2. Выбрать из меню “View” -> “Options…”.
3. На пункте “File Types” перейти в список “Registered file types”
и найти “HTML Applicaton” item.
4. При мопощи кнопки “Remove” удалить эту ссылку.
5. Закрыть окно.