Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 97K (упакован UPX, распакованный размер - около 132K), написан на Visual Basic.
Рассылка писем
При рассылке писем червь отрывает адресную книгу MS Outlook и рассылает зараженные письма по всем адресам. Зараженные письма содержат:
Имя вложения: ValentineCard.exe
Заголовок случайно выбирается из вариантов:
Secret Admirer Somebody Loves You Romance from Afar Love at first sight ...when sleepers wake and yet still dream... Be Mine ?! Yours Always Happy Valentines From Me To You Thy eternal summer shall not fade I can express no kinder sign of love, than this kind kiss Poetry is an echo, asking a shadow to dance O, beauty, till now I never knew thee! Romantic gesture Good night, sweet prince, and flights of angels sing thee to thy rest
Текст письма выбирается из вариантов:
Happy Valentines I hope you like the card I've attached, even if you don't feel the same. Febuary Feelings It's that time of year again. But I'm still only sedning a card to you. Happy Valentines I hope you like the card I've attached, even if you don't feel the same. Hi I feel like a child sending you this card but I just had to do it. Happy Valentines I hope you like the card I've attached, even if you don't feel the same. ...and every breath I ever took, every tear I ever wept, Every star I wished upon, Seemed nothing until now. Happy Valentines I hope you like the card I've attached, In this life we cannot do great things. We can only do small things with great love. Happy Valentines I hope you like the card I've attached, even if you don't feel the same.
В конце текста присутствует имя пользователя зараженного компьютера.
Инсталляция
Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
При инсталляции червь копирует себя в системный каталог Windows с именем "ValentineCard.exe" и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th = %SystemDir%ValentineCard.exe
где %SystemDir% - системный каталог Windows.
Проявления
Червь записывает в реестр ключ, означающий, что система уже заражена:
HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true
Затем червь должен проявляться различным образом, но по причине ошибки всегда происходит одно и тоже: червь создает файл "C:evil.jpg", записывает туда WAV-звук (не изображение) и открывает его. Поскольку файл имеет неправильное расширение (".jpg", а не ".wav"), система отказывается проигрывать этот файл. Если переименовать его с правильным расширением ".wav", то прозвучит текст: "Somebody loves you".
Червь также должен (но по причине ошибки этого не происходит) открыть окно своего приложения. В заголовке этого окна прокручивается текст:
I Love You !
При нажатии на кнопку окна "About" появляется сообщение:
Flash Player Flash Player 4.0 Copywrite (C) 1996-1999 Macromedia, Inc. http://www.macromedia.com
По четвергам червь перегружает Windows.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com