Worm.Win32.Shorm

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Worm

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Сетевой червь, заражающий компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл). Написан на Delphi. Упакован утилитой компрессии PE EXE-файлов ASPack.

Распространятся по локальным и глобальным сетям. При распространении выбирает компьютер-жертву (см. ниже) и, если диск на компьютере открыт на полный доступ, создает на нем свою копию в каталоге авто-запуска Windows.

Также "ворует" пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кешированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru.

Тело червя содержит текст:

SharedWorm v1.2

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах авто-запуска системного реестра:

HKCU\SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM\SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM\SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Таким образом, червь запускается при каждом рестарте Windows.

Затем червь обращается к Web-странице по адресу "http://krenx.newmail.ru/ip.txt" и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем, например:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом) червь пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start MenuProgramsStartUpAVPMonitor.exe
Главное менюПрограммыАвтозагрузкаAVPMonitor.exe

Таким образом зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows.

Червь также может "апдейтить" себя с Web-сайта. Для этого он обращается к Internet-файлу "http://krenx.newmail.ru/win.exe", скачивает его и запускает на локальной машине.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com