Kaspersky Threats — TripleSix

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

файловые;
загрузочные;
макровирусы;
скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: VBS

VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.

Описание

Technical Details

Интернет-червь. Написан на языке Visual Basic Script (VBS). Распространяется по электронной почте и через каналы IRC (Internet Relay Chat).

Будучи запущеным скрипт червя выводит на экран сообщение:

Does your name add up to 666?
This handy little tool will tell you what your name adds up to in ASCII
characters (without including spaces and without converting numbers to
ASCII). It is just for fun, it does not mean you are going to go to hell
if you get a 666. You should probably read the bible if you are concerned
about that.

Затем выводит запрос:

Does your name add up to 666?
Enter your name. Also try names from your family and friends. And if you
want something interesting try BILL GATES 3 (Bill's real name is Bill
Gates the third) and HOLY BIBLE. Press Cancel or Ok without entering any
name to exit.

Далее червь подсчитывает сумму кодов символов по таблице ASCII во введенном имени и повторяет запрос до тех пор, пока не будет нажата кнопка ОК без введенного текста. Тогда червь начинает выполнение процедуры рассылки.

Первым делом червь создает zip-архив в который помещает свою копию. Для создания архива червь использует утилиту pkzip которая записана в теле червя в зашифрованном виде. Перед созданием архива вирус расшифровывает ее во временный файл и затем запускает на выполнение. Созданный архив червь помещает в каталог Windows с именем "666TEST.ZIP".

Далее он создает на диске в системном каталоге Windows файл "REGSVR.VBS" и изменяет системный реестр таким образом, чтобы этот файл запускался на выполнение при каждом старте Windows. Этот файл также является VBS-программой (скрипт). При выполнении он последовательно перебирает все диски на компьютере и проверяет на них каталоги:

MIRC
MIRC32
PIRCH
PIRCH98

Если в этих каталогах или их подкаталогах червь находит исполняемые файлы программ MIRC или PIRCH (популярные программы для общения через IRC), он создает скрипт для найденной программы, который отсылает архив 666TEST.ZIP каждому, кто присоединяется к тому же каналу IRC, к которому присоединился пользователь зараженного компьютера.

Червь также проверяет системную дату и пятого числа каждого месяца меняет обои на рабочем столе windows на рисованное изображение грустного человечка.

Червь распространяется через электронную почту, используя программу MS Outlook. Процедура распространения этого червя очень похожа на аналогичную процедуру в вирусе "Melissa". Сообщение электронной почты, которое создает эта процедура, содержит вложенным файлом zip-архив "666TEST.ZIP", сожержащий скрипт червя.

Тема сообщения:   666 test
Текст сообщения:  > Does your name add up to 666 in ASCII characters? Are
you going to go to hell?

Червь не рассылает свои копии с одного компьютера дважды. Чтобы избежать повторной рассылки червь создает в системном реестре ключ:

"HKEY_LOCAL_MACHINESoftwareMIRC/OUTLOOK/PIRCH.VanHouten" = "True"

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!