Worm.Win32.Bumerang

Класс Worm
Платформа Win32
Описание

Technical Details

Очень опасный сетевой вирус-червь. Работоспособен только под Win32, точнее — только под Win9x, поскольку использует некоторые системные вызовы, специфичные для Win9x. Является приложением Windows (PE EXE-файл), имеет размер около 32K (упакован UPX, размер распакованного вируса — около 52K), написан на Microsoft Visual C++.

Распространяется по локальной сети и заражает приложения Win32 (PE EXE-файлы). При заражении записывается в начало файла, при этом первоначальное содержимое файла переносится вирусом в конец файла.

Основные процедуры

При запуске зараженного файла вирус «сбрасывает» свой основной код в виде файла DDRAW32.DLL в системный каталог Windows и запускает этот файл на выполнение. Если при этом происходит ошибка, вирус выводит сообщение: «Fatal error». Затем вирус лечит зараженный файл-носитель и запускает его на выполнение, т.е. возвращает ему управление.

При старте вируса из файла DDRAW32.DLL запускаются четыре основные процедуры:

1. Регистрация в реестре. Вирус записывает вызов себя в авто-ключе системного реестра:


HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce = %SystemDir%DDRAW32.DLL

Затем вирус следит за запуском REGEDIT. Если REGEDIT активен, вирус временно стирает этот ключ и восстанавливает его при закрытии приложения REGEDIT. Таким образом вирус реализует механизм невидимости в системном реестре.

2. Заражение сети. Эта процедура при запуске ждет 4 минуты, затем перебирает сетевые ресурсы (удаленные диски и каталоги), подключается к ним, ищет и заражает все доступные PE EXE-файлы.

Если диск открыт на полный доступ, то вирус сразу переключается в процедуру заражения. Если диск закрыт на запись, то вирус пытается подключиться к данному компьютеру под именем «guest» и делает несколько попыток подключения (перебирает пароли?).

Вирус пытается при этом подключиться к удаленному компьютеру 4 раза: по сетвому имени компьютера и путем попыток доступа к скрытим администраторским ресурсам: C$ , D$ , E$

3. Деструкция. При первом старте вирус запоминает системную дату и постоянно сравнивает ее с текущей. Через некоторое время (не обязательно постоянное) вирус закрывате следующие приложения:


Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask, ddraw32

и затем создает на диске файл RUN.EXE, зараженный вирусом «Win95.CIH». Код CIH-а в данном файле подправлен таким образом, что процедура уничтожения срабатывает сразу при запуске. Таким образом, Flash BIOS и FAT компьютера может оказаться испорченными.

4. Работа в сети. Все зараженные компьютеры в сети постоянно общаются между собой при помощи стандартных протоколов Windows. При этом, если на любом компьютере сети срабатывает деструктивная процедура, описанная выше, то он сразу сообщает об этом всем другим зараженным компьютерам в сети. При получении такого сообщения все остальные зараженные машины подвергаются той же деструктивной вирусной атаке. Т.е. происходит одновременный выход из строя всех зараженных машин в сети.

Невидимость

Помимо процедуры скрытия ключа в реестре, вирус также перехватывает функции Windows поиска активных приложений и блокирует обнаружение своего файла DDRAW32.DLL. Таким образом, вирусный процесс оказывается невидим для приложений, отображающих активные процессы.

Прочее

Вирус создает ключи в реестре:


HKLMSystemCurrentControlSetServicesClass id
go
HKLMEnumNetwork cnum inum

Вирус также содержит текст:


Bumerang