P2P-Worm.Win32.Scranor

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: P2P-Worm

Размножаются по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, EDonkey, FastTrack, Gnutella и др.). Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя: при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ.

Инсталляция

После запуска червь создает каталог "Sys32i" в каталоге Program Files и копирует туда себя с именем "Scran.exe". Червь регистрирует данный файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "W32.Scran"="%ProgramDir%sys32iScran.exe"

В этом же каталоге червь создает еще несколько своих копий со следующими именами:

Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail account cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe

Данный каталог указывается в системном реестре Windows как Local Content систем файлообмена Kazaa и iMesh:

[HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
 "dir0"="012345:%ProgramDir%sys32i"

[HKCUSoftwareiMeshClientLocalContent]
 "dir0"="012345:%ProgramDir%sys32i"

В результате чего данные файлы становятся доступны для загрузки другими пользователями P2P сетей.

Червь создает уникальный идентификатор для определения своего присутствия в системе, с именем "W32.Scran-Worm".

Размножение через IRC

Червь ищет на компьютере установленный IRC клиент и если такой обнаружен, изменяет содержимое файла script.ini таким образом чтобы пытаться передать свою копию всем пользователям IRC-каналов, на которые заходит владелец зараженного компьютера.

Прочее

Червь загружает с сайта http://www.freewebs.com файл "botnet.jpg" и сохраняет его в корневой каталог диска C: с именем "botnet.exe". Данный файл является очередной модификацией Backdoor.Win32.RBot.gen.

1 января червь выводит на экран message box с текстом:

Ha?
Happy New Year W32.Scran!!

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com