Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Email-Worm
Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Bu, Win32 sistemleri altında yayılan bir virüs solucanıdır. Virüs, Win32 çalıştırılabilir dosyalarına bulaşır, virüs bulaşmış dosyalar ile e-posta iletileri göndermeyi ve ayrıca etkilenen bir sistemde "eklentileri" indirip oluşturmak için bir arka kapı bileşeni yükler. Solucan, Eylül - Ekim 2000 arası küresel bir salgın hastalığa neden oldu.
Virüsün sıra dışı bir yapısı vardır. Bağımsız programlar (Virüs, e-posta Worm ve Backdoor) olarak çalıştırılan üç farklı bileşenden oluşur. Virüs ana bileşendir ve solucan ve arka kapı programlarını kodunda sıkıştırılmış halde tutar. Sistemi enfekte ederken, virüs onları ayıklar ve çoğaltır:
Virüs yapısı
=============== - Virus Virüs> -> sisteme Worm ve Backdoor yükler, � yükleme � sonra Win32 yürütülebilir dosyaları bulur ve bulaşır � ve enfeksiyon � � rutinleri � --------------- � Solucan kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır Comp (sıkıştırılmış) � --------------- Door Backdoor kodu � -> dosyaya ayıklanır ve bağımsız program olarak çalıştırılır Compress (sıkıştırır) � L =============== -
Enfekte EXE dosyası
=============== - � Dosya kodu � � ve veri � � � =============== � Virüs kodu: � --------------- �� Kurulum�� �� ve enfeksiyon + ------------- + �� Solucan �� + ------------- + Door Arka kapı �� L -------------- L =============== -
Solucan kodu, sisteme virüs bulaşmış bir e-posta iletisine eklenmiş olarak gönderilmek üzere gerekli tüm yordamları içermez (aşağıya bakın). Solucan virüs bileşeninden "yardım" a ihtiyaç duyar ve virüs tarafından enfekte olarak gönderilir (solucan dosyası virüs tarafından sıradan bir dosya olarak bulaşır ve sonra gönderilir). Böyle bir yöntemin nedeni belirsizdir, fakat muhtemelen bileşenler farklı insanlar tarafından yazılmıştır.
Virüs bileşeninde metin dizeleri bulunur:
SABI�.b ViRuS
[MATRİX] VX TeAm tarafından sağlanan yazılım: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Bize yardım için #virus ve Vecna'daki tüm VX'li adam
Bizi ziyaret edin:
http://www.coderz.net/matrix
Solucan bileşeni metin dizelerini içerir:
[MATRiX] VX ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
# Virus kanalı ve Vecna'daki tüm VX kullanıcıları
Bizi ziyaret edin: www.coderz.net/matrix
Arka Kapı metni içerir:
[MATRiX] ekibi tarafından sağlanan yazılım:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Selamlamak:
Vecna 4 kaynak kodları ve fikirleri
Virüs Bileşeni
Virüs bir dosyaya bulaşırken "Giriş Noktası Gözlemleme" teknolojisini kullanır. Bu, virüsün dosyayı giriş kodunda etkilemediği anlamına gelir, ancak algılama ve dezenfeksiyon prosedürlerini daha karmaşık hale getirmek için dosya kodu bölümünün ortasında bir yere "Jump Virus" komutu yerleştirir. Sonuç olarak, virüs sadece ilgili etkilenen programın şubesinin kontrolünü ele geçirmesi durumunda aktif hale gelir.
Virüs de şifrelenir, bu yüzden her şeyden önce, kodu kontrol edince kendini deşifre eder. Virüs, daha sonra Win32 çekirdeğini tarayarak gerekli Win32 API işlevlerini arar. Bunu yapmak için, virüs Win9x, WinNT ve Win2000 adreslerini dener.
Virüs daha sonra sistemde aktif olan antivirüs programlarını arar ve herhangi birinin algılanması durumunda çıkar. Virüsün virüsten korunma programlarının listesi aşağıdaki gibi gözüküyor:
AntiViral Toolkit Pro
AVP Monitörü
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Merkez McAfee VirusScan'ı kullanıyor
Ardından, virüs bileşenlerini sisteme yükler. Windows dizinine sıkıştırılmışlar ve sonra yeniden doğuyorlar. Oluşturulan üç dosya vardır ve gizli bir özellik kümesine ve aşağıdaki adlara sahiptir:
IE_PACK.EXE - saf solucan kodu
WIN32.DLL - Virüs tarafından enfekte Worm kodu (yukarıda "Enfekte Dosya" olarak)
MTX_.EXE - arka kapı kodu
Virüs sonra Win32, yürütülebilir PE EXE dosyalarını geçerli, geçici ve Windows dizinleri ve sonra çıkarır.
solucan
Virüs bulaşmış mesajlar göndermek için, solucan, ilk kez "Happy" İnternet solucanında (aka Happy99, aka SKA) bulunan teknolojiyi kullanır.
Solucan, Windows sistem dizinindeki WSOCK32.DLL dosyasını, dosyanın bir bileşenini dosyanın sonuna ekleyerek ve "gönder" WSOCK32.DLL yordamını takarak etkiler. Sonuç olarak, solucan etkilenen bilgisayardan Internet'e gönderilen tüm verileri izler.
Genellikle solucan başladığında WSOCK32.DLL dosyası kullanımda ve yazma için kilitli. Bunu önlemek için, solucan standart bir yöntem kullanır: bir WSOCK32.MTX adıyla özgün WSOCK32.DLL kopyasını oluşturur ve bu kopyayı etkiler ve sonra da "özgün dosyayı virüslü ile değiştir" yazısını WININIT.INI dosyasına yazar:
NULL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX
Burada "C: WINDOWSSYSTEM" Windows sistem dizininin adıdır ve kurulu Windows dizininin ismine bağlı olarak değişebilir.
Bir sonraki yeniden başlatma üzerine, virüslü WSOCK32 orijinali değiştirir ve solucan etkilenen makineden gönderilen verilere erişir. Solucan, bilgisayardan gönderilen e-posta mesajlarının yanı sıra ziyaret edilen İnternet sitelerine (Web, ftp) de önem veriyor.
Virüsün çok görünür davranışı, çeşitli internet sitelerini ziyaret etme yeteneğini engellemesinin yanı sıra, aynı etki alanlarına (anti-virüs etki alanı adları) mesaj göndermeyi de devre dışı bırakmasıdır. Virüs, bunları aşağıdaki gibi görünen dört harfli kombinasyonlarla algılar:
nii.
nai.
AVP.
F-se
MAPL
pand
ikinci sınıf öğrencisi
ndmi
Afee
YENN
lywa
tbav
İman
Solucan ayrıca e-posta mesajlarının bu alanlara gönderilmesine de izin vermez:
wildlist.o *
il.esafe.c *
perfectsup *
* complex.is
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
Meditrade. *
mabex.com *
cellco.com *
symantec.c *
başarılı*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
TrendMicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *
Solucan, aynı adrese ("Mutlu" solucanın yaptığı gibi) aynı adrese virüslü bir ek içeren bir çift ileti göndermeye çalışan e-posta iletilerini de durdurur. Sonuç olarak, bir mağdur adresi iki mesaj almalıdır: Birincisi, gönderen tarafından yazılmış orijinal mesajdır; ikincisi, boş bir konu ve metin ve geçerli tarihe bağlı olarak solucan tarafından seçilen adlardan birine sahip ekli bir dosya ile bir mesaj gelir:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
Seicho-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Ekli bir dosya olarak, solucan, virüs bileşeni tarafından düşürülmüş olan WIN32.DLL dosyasını kullanır.
Not: solucan WIN32.DLL dosyasını düşürmez, ancak gönderilen iletilere eklemek için bu dosyayı kullanır. Yani "saf solucan" bir kereden fazla yayılamıyor: kurban bir makinede çalıştırılmak, solucan WSOCK32.DLL bulaşacaktır, ancak kopyalarını daha fazla gönderemeyecektir. "Bu sorunu gidermek için", solucan bulaşmış kopyasını gönderir (WIN32.DLL bir virüs bileşeninden etkilenen bir solucan bileşenidir, yukarıya bakın).
Bilinen solucan modifikasyonunun yayılma rutinde ve e-posta sunucusunda bir hata vardır ve birçok durumda etkilenen makineden etkilenen mesajları almaz. Buna rağmen, sistem Çevirmeli bağlantıya sahipse veya posta sunucusu yeterince hızlıysa, solucan kopyalarını sorunsuz olarak gönderir.
Arka kapı
Çalıştırıldığında, bir Backdoor bileşeni, makinenin zaten virüslü olduğunu gösteren sistem kayıt defterinde yeni bir anahtar oluşturur:
HKLMSoftware [MATRİS]
Bu anahtarın mevcut olması durumunda, Backdoor yükleme prosedürünü atlar. Aksi takdirde, otomatik çalıştırma bölümünde kendini kaydeder:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% mtx_.exe
% WinDir% Windows dizinidir.
Backdoor, Windows'da gizli bir uygulama (hizmet) olarak etkin kalır ve bazı Internet sunucularına bağlanan, oradan dosyaları alıp sistemde açan bir rutini çalıştırır. Dolayısıyla, Backdoor sistemi diğer virüslerle enfekte edebilir veya Trojan programlarını veya daha işlevsel arka kapıları kurabilir.
Bilinen virüs sürümündeki bu bileşen, bir arka kapı bir İnternet sitesine erişmeye çalıştığında, uygulamadaki bir hata hakkında standart bir Windows mesajına neden olan bir hataya da sahiptir.
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com