Kaspersky Threats

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

файловые;
загрузочные;
макровирусы;
скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Нерезидентный полиморфик-вирус, размножается под Windows32 (Win95/98 and WinNT) и заражает PE EXE-файлы (Portable Executable). Имеет довольно внушительный размер для программы, написанной на Ассемблере - более 15Kb.

Наиболее интересной особенностью вируса является его способность рассылать свои копии по случайно выбранным адресам электронной почты (см. также описания других вирусов, рассылающих зараженные письма: "Win.RedTeam", "Word97.Antimarc", "Word.Innuendo", "Macro.Word.ShareFun".

Код вируса содержит "копирайты":

- Parvo BioCoded by GriYo / 29A - Win32 Tech Support by Jacky Qwerty / 29A
- Thanks to Darkman / 29A and b0z0 / Ikx for their ideas and strategy
- Parvo is a research speciment, do not distribute
- c1999 29A Labs ... We create life -

Многие процедуры вируса (заражение, полиморфик-генератор) функционально совпадают с вирусом "Win95.Marburg". Так же, как и "Marburg", вирус записывает себя в конец последней секции и не изменяет адрес "точки входа" - вместо этого записывает в "точку входа" инструкцию JMP_Virus передачи управления на код вируса. Перед командой JMP_Virus может также присутствовать некоторое количество полиморфного кода.

При запуске зараженного файла управление передается на полиморфик-цикл и дополнительный короткий цикл расшифровки, которые восстанавливают код вируса в первоначальном виде. Затем управление получает процедура подсчета контрольной суммы кода вируса - если CRC вируса некорректна, вирус прекращает свою работу. Необходимость CRC-проверки вызвана, скорее всего, тем фактом, что вирус рассылает свои копии по электронной почте. Данные в письме могут быть повреждены, и вирус при помощи CRC блокирует исполнение своих испорченых копий.

Затем вирус сканирует ядро Windows и определяет необходимые для его работы адреса API-функций Windows. При поиске API-функций вирус вместо "настоящих" имен использует их CRC-суммы: для каждой следующей функции ядра Windows вирус подсчитывает ее CRC и сравнивает с таблицей, хранящейся в теле вируса.

Для заражения вирус ищет EXE-файлы в текущем каталоге, в главном и системном каталогах Windows. Вирус также заражает файлы в каталогах, в которых установлены Интернет-броузер и электронная почта. Имена этих каталогов вирус считывает из системного реестра.

Вирус заражает только файлы из достаточно короткого списка: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE, и некоторые другие. При сравнении имен файлов вирус опять-таки использует их CRC-суммы.

При возврате управления программе-носителю вирус создает на диске копию зараженного файла, лечит ее и запускает на выполнение. Вирус при этом остается в памяти компьютера на все время работы вылеченной копии, т.е. может находиться в системной памяти неопределенно долгое время. Однако несмотря на этот факт, вирус нельзя считать резидентным: он не перехватывает никаких системных событий, не заражает файлы - т.е. находится в "спящем" состоянии.

При рассылке зараженных писем вирус при помощи функций Windows получает доступ к сетевым ресурсам, создает письмо, присоединяет к нему зараженный файл-дроппер и отсылает его по случайно выбранному электронному адресу. Адреса рассылки выбираются вирусом по достаточно оригинальному методу: вирус входит на один из нескольких возможных серверов новостей, считывает случайное письмо, ищет в нем строку "FROM", и следующие за ней данные использует как электронный адрес жертвы.

Имя зараженного файла в письме выбирается из трех вариантов: MSEFIXI.EXE, LSERIAL.EXE или HOTEENS.EXE. Само сообщение (включая заголовки) также выбирается из трех вариантов:

Сообщение 1 -------------------------------------------------------------
mail from: support@microsoft.com
from: support@microsoft.com
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: Present security risk using Microsoft Internet Explorer and
Outlook Express
A new and dangerous virus has hit the Internet.
DESCRIPTION:
When the email client receives a malicious mail or news message that
contains an attachment with a very long filename, it could cause the
email to execute arbitrary code automaticly on the client workstation,
thus infecting the machine.
Microsoft has been aware of this problem from the very beginning and
presents here a patch for the two of our products in which it exploits.
Outlook 98 on Windows 95, Windows 98 and Microsoft Windows NT 4.0
Outlook Express 4.0, 4.01 (including 4.01 with Service Pack 1) on
Windows 95, Windows 98 and Windows NT 4.0
Netscape Mail Clients
SOLUTION:
Customers using this products for Windows 95, Windows 98 or Windows NT
4.0 should execute the attached patch or download an updated patch
from:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Please patch your computer(s) as soon as possible and help us fight this
threat to the Internet.
Thank for your time.
Microsoft Support

Сообщение 2 -------------------------------------------------------------
mail from: 
from: 
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: New and even larger serial number list out now!
Hi
Do you need a serial number for a unregistrated program of yours?
Do you feel like you have looked for it everywhere?
Even in the newest version of Phrozen Crews Oscar?
If you can answer -yes- to some of the above questions and are still
looking for a serial number, this might be the program you have been
waiting for.
We have collected serial numbers for many years and are now proud to
release the very first version of our serial number collection, which
contains more than 15.000 serial numbers.
Attached to this message is the very first version of our serial number
collection.
Yours,
Serial number collectors

Сообщение 3 -------------------------------------------------------------
mail from: 
from: 
rcpt to:  случайно выбранный адрес
to:  случайно выбранный адрес
Subject: New and 100% free XXX site
Dear potential customer,
We have just opened a new erotic site with more than 10.000 .JPGs and more
than 1.000 .MPG/.VIV/.AVI/.MOV/etc.
We offer you the opportunity of a lifetime, we are giving away a months
access, without being charged, to our new site in exchange for your
opinion.
All you have to do is execute the attached advert, which will generate your
personal User ID, you dont even have to provide information as your
personal credit card number, etc.
And if you like our site, please tell all your friends about us.
http://www.hoteens.com/
HoTeens.com

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!