Worm.Win32.VBNA

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Worm

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Червь загружает из сети Интернет файлы со следующих хостов:

ener**h.com



bigsh**art.com



godig**alarts.com

Загруженные файлы сохраняются под случайными именами в каталогах "%Temp%" и "%WinDir%". На момент создания описания загружались следующие файлы:

%Temp%Nth.exe (180224 байта)



%Temp%Ntg.exe (182272 байта)



%Temp%Ntf.exe (275968 байт)



%WinDir%Nmaraa.exe (182272 байта)

После успешной загрузки файлы запускаются на выполнение.

Например Worm.Win32.VBNA.alpw:

Троянская библиотека является компонентом другой вредоносной программы. При загрузке данной библиотеки в адресное пространство какого-либо процесса осуществляется запуск на выполнение файла:

C:x.exe

Кроме того, библиотека содержит функционал для работы с файлами и диалоговыми окнами.

Например Worm.Win32.VBNA.b:

В зависимости от модификации конкретного экземпляра вредоноса, могут выполняться следующие действия:

• из тела троянца извлекаются файлы, которые сохраняются в системе как

  %System%sdra64.exe

  (в зависимости от модификации троянца файл может иметь размер от 474 до 839 КБ; детектируется Антивирусом Касперского как "Trojan.Win32.VBKrypt.asd")

  %Temp%MeTuS ( Thrasher ).exe

  (144384 байта; детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.gsy")

  %Temp%Fake Message Box.exe

  (16384 байта)
• Изменяется значение ключа системного реестра:

  
  
  
  [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
  
  
  
  "userinit"= "%System%userinit.exe,%System%sdra64.exe,"
  
  
  
  

  Таким образом, файл "sdra64.exe" будет автоматически запускаться процессом "WINLOGON.EXE" при каждом следующем старте системы.
• Также троянец может копировать свое тело в файл:

  %Temp%explorer.exe

  При этом для автозапуска созданного файла создаются следующие ключи системного реестра:
  [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  "Microsoft Windows Hosting Service Login" = "%Temp%explorer.exe"
  
  [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "Microsoft Windows Hosting Service Login" = "%Temp%explorer.exe"
  Кроме того, созданная копия троянца добавляется в список доверенных приложений Брандмауэра Windows:
  [HKLMSystemControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
  AuthorizedApplicationsList] "Microsoft Windows Hosting Service Login" = "%Temp%explorer.exe"
• Троянец может загружать файлы со следующих хостов:

  
  
  
  dark***xist.com
  
  
  
  enter***955.dyndns.org
  
  
  
  

  Код, реализующий функционал загрузчика может внедряться в адресное пространство процесса "IEXPLORE.EXE".

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com