Класс
Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Worm

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Очень опасный сетевой вирус-червь. Работоспособен только под Win32, точнее - только под Win9x, поскольку использует некоторые системные вызовы, специфичные для Win9x. Является приложением Windows (PE EXE-файл), имеет размер около 32K (упакован UPX, размер распакованного вируса - около 52K), написан на Microsoft Visual C++.

Распространяется по локальной сети и заражает приложения Win32 (PE EXE-файлы). При заражении записывается в начало файла, при этом первоначальное содержимое файла переносится вирусом в конец файла.

Основные процедуры

При запуске зараженного файла вирус "сбрасывает" свой основной код в виде файла DDRAW32.DLL в системный каталог Windows и запускает этот файл на выполнение. Если при этом происходит ошибка, вирус выводит сообщение: "Fatal error". Затем вирус лечит зараженный файл-носитель и запускает его на выполнение, т.е. возвращает ему управление.

При старте вируса из файла DDRAW32.DLL запускаются четыре основные процедуры:

1. Регистрация в реестре. Вирус записывает вызов себя в авто-ключе системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce = %SystemDir%DDRAW32.DLL

Затем вирус следит за запуском REGEDIT. Если REGEDIT активен, вирус временно стирает этот ключ и восстанавливает его при закрытии приложения REGEDIT. Таким образом вирус реализует механизм невидимости в системном реестре.

2. Заражение сети. Эта процедура при запуске ждет 4 минуты, затем перебирает сетевые ресурсы (удаленные диски и каталоги), подключается к ним, ищет и заражает все доступные PE EXE-файлы.

Если диск открыт на полный доступ, то вирус сразу переключается в процедуру заражения. Если диск закрыт на запись, то вирус пытается подключиться к данному компьютеру под именем "guest" и делает несколько попыток подключения (перебирает пароли?).

Вирус пытается при этом подключиться к удаленному компьютеру 4 раза: по сетвому имени компьютера и путем попыток доступа к скрытим администраторским ресурсам: C$ , D$ , E$

3. Деструкция. При первом старте вирус запоминает системную дату и постоянно сравнивает ее с текущей. Через некоторое время (не обязательно постоянное) вирус закрывате следующие приложения:

Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask, ddraw32

и затем создает на диске файл RUN.EXE, зараженный вирусом "Win95.CIH". Код CIH-а в данном файле подправлен таким образом, что процедура уничтожения срабатывает сразу при запуске. Таким образом, Flash BIOS и FAT компьютера может оказаться испорченными.

4. Работа в сети. Все зараженные компьютеры в сети постоянно общаются между собой при помощи стандартных протоколов Windows. При этом, если на любом компьютере сети срабатывает деструктивная процедура, описанная выше, то он сразу сообщает об этом всем другим зараженным компьютерам в сети. При получении такого сообщения все остальные зараженные машины подвергаются той же деструктивной вирусной атаке. Т.е. происходит одновременный выход из строя всех зараженных машин в сети.

Невидимость

Помимо процедуры скрытия ключа в реестре, вирус также перехватывает функции Windows поиска активных приложений и блокирует обнаружение своего файла DDRAW32.DLL. Таким образом, вирусный процесс оказывается невидим для приложений, отображающих активные процессы.

Прочее

Вирус создает ключи в реестре:

HKLMSystemCurrentControlSetServicesClass id go
HKLMEnumNetwork cnum inum

Вирус также содержит текст:

Bumerang

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.