Email-Worm.Win32.Puron

Teknik detaylar

Bu, virüs bulaşmış e-postalar aracılığıyla yayılan ve Windows EXE dosyalarını bilgisayarlara bulaşan bir virüs solucanıdır. Solucan rutinlerinin hataları vardır ve bazı durumlarda, bilgisayarları ve / veya bozuk dosyaları onları enfekte ederken durdururlar.

Solucan kodunda "telif hakkı" metin dizeleri bulunur:

(C) Vecna
Vecna ​​şimdi bir punk rocker …

Enfekte Dosya Çalışması

Solucan, virüslü e-postalar yoluyla yerel ağdan veya çalıştırılan herhangi bir virüslü dosyadan bir bilgisayara girebilir.

Solucan başladığında, bu virüs bulaşmış bir dosyadan çıkarır "ana" kodu (yani "saf" virüs kodu – Win32 PE EXE dosyası 9.5 Kb boyutunda), Windows TEMP dizine rasgele seçilmiş bir adla kaydeder (örneğin , LNBAMKON.EXE, MMCAAHAN.EXE) ve bu dosyayı yürütür.

Virüsün "ana" kodu kontrolü ele geçirdiğinde, dosyayı Kayıt Defteri anahtarında belirtilen Windows dizinine taşır:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Klasörleri
Ortak Başlangıç ​​=% başlangıç%

% Startup% dizin adı Windows sürümüne bağlıdır, örneğin:

Belgeler ve AyarlarAll UsersStart MenuProgramsStartup
% WindowsDir% Tüm UsersStart MenüProgramlarıStartup

Solucan, kendisini rastgele seçilmiş sekiz rakamı ve bir .EXE uzantısına sahip rastgele bir isimle% startup% dizinine taşır:

00544102.EXE
17060133.EXE
37154273.EXE

Solucan daha sonra bu kopyayı "Başlangıç" dizininde yürütür ve ilk kopyayı Windows TEMP dizininde siler, örneğin:

C: VIRUS.EXE – virüslü dosyayı çalıştırır
C: WINDOWSTEMPMMCAAHAN.EXE – 1. kopya oluşturulur ve çalışır
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – bu 2. kopya, burada oluşturuldu ve yürütüldü. 1. kopya o zaman silinir.

Bir hata yüzünden, bazı durumlarda, solucan bu işlemin ortasında çöker ve 1. kopya TEMP dizininde kalır.

Bu "dosya taşıma" işlemi tamamlandığında, solucan bir "gizli" kanca kurar ve enfeksiyon ve e-posta yayma rutinlerini çalıştırır.

enfeksiyon

Enflasyon rutinleri kontrol edildiklerinde, tüm yerel ve ağ sürücülerinde .EXE ve .SCR Windows çalıştırılabilir dosyalarını arar ve bunları enfekte eder. Enfeksiyon sırasında, dosya ortasından bir blok elde eder, sıkıştırır ve dosyadaki sıkıştırılmış veriyi ve solucan kodunu depolar, böylece dosya uzunluğu artmaz.

Solucan ayrıca tespit ve dezenfeksiyon işlemini daha karmaşık hale getirmek için bir polimorfik mutasyon motoru kullanır.

E-posta yayılıyor

Kendini yaymak için, solucan bir SMTP posta sunucusuna bağlanır ve virüslü iletileri e-posta adreslerine gönderir. Hem SMTP sunucu adı hem de e-posta adresleri, solucan WAB veri dosyalarından (Windows Adres Defteri) alır.

Virüs bulaşan mesajlar HTML biçimindedir ve alanları vardır:

Gönderen: "Mondo bizarro" [mourning@obituary.org]
Konu: Joey öldü, adam … 🙁
Metin: Joey Ramone'a bir övgü (1951-2001)
Eklenti: ramones.mp3.exe

Solucan, MS Windows'ta 2001'de bulunan güvenlik açıklarından birini (Güvenlik açığı tanımlayıcısı: CAN-2001-0154) kullanır. Bu ihlalin sonucu, bir kullanıcının eylemi olmadan ekli bir EXE dosyası oluşturmasıdır. Okumak veya önizlemek için virüslü bir e-posta açıldığında, solucanın EXE dosyası otomatik olarak çalıştırılır.

Microsoft zaten bu güvenlik açığını ortadan kaldıran bir yama yayınladı. Ek bilgi burada bulunabilir: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

gizlilik

Solucan FindFile ve FindProcess Windows sistem çağrılarını kancalar (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Solucan bu çağrıları, "başlangıç" dizinindeki kopyasının (yukarıya bakınız) rapor edilmemesi için işler. Sonuç olarak, solucan dosyaları dosya ve işlem listelerinde görünmez.