Email-Worm.Win32.Swen

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Email-Worm

Email-Worms e-posta yoluyla yayıldı. Solucan, kendisinin bir kopyasını bir e-posta mesajının eki olarak veya bir ağ kaynağındaki dosyasına bir bağlantı olarak gönderir (örn., Ele geçirilmiş bir web sitesindeki veya hacker'ın sahip olduğu bir web sitesinde virüslü bir dosyanın URL'si). İlk durumda, virüslü eklenti açıldığında (başlatıldığında) solucan kodu devreye girer. İkinci durumda, virüs bulaşan dosyaya bağlantı açıldığında kod etkinleştirilir. Her iki durumda da, sonuç aynıdır: solucan kodu etkinleştirildi. Email-Worms, virüslü e-posta göndermek için bir dizi yöntem kullanır. En yaygın olanları şunlardır: Windows MAPI işlevlerini kullanarak MS Outlook hizmetlerini kullanarak solucan koduna yerleşik e-posta dizini kullanarak bir SMTP sunucusuna doğrudan bağlantı kullanarak. E-posta solucanları, virüslü e-postaların gönderileceği e-posta adreslerini bulmak için bir dizi farklı kaynak kullanır: MS Outlook'taki adres defteri, sabit sürücüde saklanan bir WAB adres veritabanı .txt dosyaları: solucan, metin dosyalarındaki hangi dizeleri belirleyebilir e-posta adreslerini gelen kutunuzda e-postalar (bazı e-posta-solucanlar gelen kutucukta bulunan e-postalara bile "cevap verir") Birçok e-posta solucanı, yukarıda listelenen kaynaklardan daha fazlasını kullanır. Web tabanlı e-posta hizmetleriyle ilişkili adres defterleri gibi başka e-posta adresleri kaynakları da vardır.

Platform: Win32

Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.

Açıklama

Teknik detaylar

Swen , e-posta yoluyla (virüs bulaşmış dosya eki biçiminde), Kazaa dosya paylaşım ağı, IRC kanalları ve açık ağ kaynakları aracılığıyla Internet üzerinden yayılan çok tehlikeli bir solucan virüsüdür.

Swen , Microsoft Visual C ++ ile yazılmıştır ve boyutu 105 KB'dir (106496 bayt).

Mağdur virüslü dosya (dosya eki üzerine çift tıklayarak) veya bir kurban makinenin e-posta uygulaması (aynı zamanda internet solucanlar tarafından sömürülen IFrame.FileDownload güvenlik açığına karşı savunmasız olduğu başlattığında solucan aktive Klez ve Tanatos ). Bir kez koştuğunda, Swen kendini sisteme yükler ve kendi prova rutinini başlatır.

IFrame güvenlik açığı için Mart 2001'de yayımlanan düzeltme ekini karşıdan yükleyebilirsiniz: Microsoft Güvenlik Bülteni MS01-20 .

Solucan birçok anti-virüs programını ve güvenlik duvarını engeller. Kullanılan programlama dili farklı olmasına rağmen, kod metninin algoritması ve parçaları I-Worm.Gibe adı verilen başka bir İnternet solucanıyla neredeyse aynıdır.

Kurulum

İlk başlatıldığında, solucan "Microsoft Internet Update Pack" ileti kutusunu görüntüleyebilir. Daha sonra yama yüklemesini taklit eder:

Solucan, daha sonra aşağıdaki adlardan birisinin altına Windows dizinine kopyalar. İsim birkaç bölümden oluşabilir.

İlk olasılık:

1. Kazaa Lite
   KaZaA medya masaüstü
   KaZaA
   Winrar
   WinZip
   Winamp
   Mirc
   Hızlandırıcıyı İndir
   GetRight FTP
   Windows Media Player
   

2. Anahtar üreteci
   Kesmek
   hacked
   warez
   Yükleme
   Yükleyici
   Yükleme
   Yükleyici

İkinci olasılık:

1. umacı
   Yaha
   dokundurmak
   Sircam
   Çok büyük
   Klez

2. Temizleyici
   RemovalTool
   temizleyici
   FixTool

Üçüncü olasılık:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Seri
Jenna Jameson
hardporn
Seks
Xbox Emulator
Emulator Ps2
Xp Güncellemesi
Xxx Videosu
Hasta Şaka
Xxx Resimleri
Çıplak Kız Kardeşim
Halüsinojenik Ekran Koruyucu
Esrarla Yemek
Büyüyen Sihirli Mantarlar
Virüs Jeneratörü

Yeni dosya Windows sistem kayıt defteri otomatik çalıştırma anahtarında kayıtlı:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  rasgele dizi =% windir% dosya adı autorun 

Solucanların konfigürasyon ayarlarını içeren bir tanımlama anahtarı oluşturulur:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  rastgele sıra 

Solucan, Windows klasöründe bir BAT uzantılı virüslü ana bilgisayar makinesinden sonra adlandırılmış bir dosya oluşturur. Dosya şu komutları içerir:

@EKO KAPALI
"% 1" DEĞİLSE == "" .exe% 1

Daha sonra solucan, HKLMSoftwareClasses'daki anahtar değerlerini, BAT, COM, EXE, PIF, REG ve SCR dosya türleri her başlatıldığında yürütmeye bağlanacak şekilde değiştirir.

 HKCRbatfileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRcomfileshellopencommand  Varsayılan =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRpiffileshellopencommand  Varsayılan =% windir%  "% 1"% *HKCRregfileshellopencommand  Varsayılan =% windir%  showerrorHKCRscrfileshellconfigcommand  Varsayılan =% windir%  "% 1"  HKCRscrfileshellopencommand  Varsayılan =% windir%  "% 1" / S 

Sistem kayıt defterini düzenlemek için kullanıcı özelliğini devre dışı bırakır:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

İlk başlatıldığında, solucan şu uzak web sitesine erişir:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Bu sayaç, virüslü bilgisayarların sayısını gösterir.

Enfekte olan makinede solucanın yeni bir kopyasını yürütmeye çalışırken solucan şu mesajı görüntüler:

Solucan, tüm diskleri DBX, MDX, EML, WAB uzantılı dosyalar için ve uzantıda HT veya ASP içeren dosyaları tarar. Swem daha sonra bulabileceği ve germs0.dbv adlı bir dosyada kaydettiği tüm e-posta adreslerini çıkarır .

Solucan, virüslü e-postalar göndermek için swen1.dat dosyasında belirtilen 350 sunucunun birine bağlanmayı dener. Bağlantı imkansızsa, solucan bir MAPI 32 Özel Durum hakkında aşağıdaki hata iletisini görüntüler:

ve doğru bir e-posta adresini ve doğru bir SMTP sunucusunu ister.

E-posta yoluyla yayılım

Solucan bir SMTP sunucusuna doğrudan bağlantı kullanarak tüm mevcut adreslere gönderir. Virüslü e-postalar HTML biçimindedir ve bir ek içerir (gerçek solucan).

Gönderenin adı (birkaç bölümden oluşur):

1. Microsoft,
   MS
   

2. (kullanılamaz)
   şirket
   

3. (kullanılamaz)
   program
   Internet
   Ağ
   

4. (her zaman bölüm 3 ile birlikte verilir)
   Güvenlik
   

5. (kullanılamaz)
   Bölünme
   Bölüm
   Bölüm
   merkez
   

6. (kullanılamaz)
   halka açık
   Teknik
   Müşteri
   

7. (kullanılamaz)
   bülten
   Hizmetler
   Yardım
   Destek

Örneğin:

Microsoft İnternet Güvenliği Bölümü
MS Teknik Yardım

Gönderen adresi (2 bölümden oluşur):

• "@" dan önce: rasgele sekans (örnek: tuevprkpevcg-gxwi @, dwffa @);
• "@" dan sonra: 2 bölümden oluşur (sadece bir tanesi kullanılabilir):
  1. haber
     bülten
     bülten
     güven
     danışman
     güncellemeler
     technet
     destek
     

  2. msdn
     microsoft
     MS
     msn

  Örneğin: "newsletter.microsoft" veya sadece "destek". İki parça kullanılıyorsa, "." Veya "_" ile ayrılırlar.

  Sonra "." etki alanı "com" veya "net" dir.

Konu (çeşitli bölümlerden oluşur):

1. son
   Yeni
   Son
   en yeni
   şimdiki
   

2. Ağ
   Ağ
   Microsoft,
   Internet
   

3. Güvenlik
   kritik
   

4. Yükselt
   paket
   Güncelleştirme
   Yama

Vücut:

MS Müşteri (Tüketici, Ortak, Kullanıcı - rastgele seçilmiş)
Bu, güvenlik güncellemesinin en son sürümüdür.
"Eylül 2003, Toplu Düzeltme Eki" güncelleştirmesi
etkileyen tüm bilinen güvenlik açıkları
MS Internet Explorer, MS Outlook ve MS Outlook Express.
Bilgisayarınızı korumak için şimdi yükleyin
Bu güvenlik açıklarından en ciddi olanı
Bir saldırganın sisteminizde kod çalıştırmasına izin verin.
Bu güncelleme işlevi içerir =
önceden yayımlanmış tüm yamalar.

Sistem gereksinimleri: Windows 95/98 / Me / 2000 / NT / XP
Bu güncelleme aşağıdakiler için geçerlidir:
- MS Internet Explorer, 4.01 ve sonraki sürümleri
- MS Outlook, sürüm 8.00 ve üstü
- MS Outlook Express, 4.01 ve sonraki sürümleri

Öneri: Müşteriler yamayı yüklemelidir =
en yakın fırsatta.
Nasıl kurulur: Ekli dosyayı çalıştırın. Görüntülenen iletişim kutusunda Evet'i seçin.
Nasıl kullanılır: Bu öğeyi yükledikten sonra bir şey yapmanıza gerek yoktur.

İmza:

Microsoft Ürün Destek Hizmetleri ve Bilgi Bankası makaleleri =
Microsoft Teknik Destek web sitesinde bulunabilir.
http://support.microsoft.com/

Microsoft ürünleri hakkında güvenlikle ilgili bilgiler için lütfen =
Microsoft Güvenlik Danışmanı web sitesini ziyaret edin
http://www.microsoft.com/security/

Microsoft ürünlerini kullandığınız için teşekkür ederiz.

Lütfen bu mesaja cevap vermeyin.
Takip edilmeyen bir e-posta adresinden gönderildi ve biz olamaz =
herhangi bir cevaplara cevap vermek.

----------------------------------------------
Söz konusu şirketlerin ve ürünlerin adları =
işte kendi sahiplerinin ticari markalarıdır.

Ek adı:

yama [rasgele sayı] .exe
[rastgele sayı] .exe dosyasını yükleyin
q [rastgele sayı] .exe
[rastgele sayı] .exe dosyasını güncelle

Vücudun gerçek içeriği, çeşitli koşullara bağlı olarak daha az karmaşık olabilir.

• Konu şunları içerebilir:

  mektup
  Öğüt vermek
  Mesaj
  duyuru
  Rapor
  ihbar
  böcek
  Hata
  iptal etmek
  Başarısız oldu
  Bilinmeyen kullanıcı

• Vücut içerebilir:

  Merhaba!
  Bu qmail programı
  [Rastgele değer] 'den gelen mesaj
  üzgünüm
  Bunu bilgilendirdiğim için üzgünüm.
  korkarım
  Korkarım mesajınızı aşağıdaki adreslere teslim edemedim
  aşağıda geri gönderilen ileti teslim edilemedi
  Mesajını teslim edemedim
  bir veya daha fazla hedefe

Bazı durumlarda solucan, kopyalarını arşivlenmiş formda (ZIP veya RAR) gönderebilir.

Kazaa üzerinden yayılım

Swen, Kazaa'nın dosya paylaşım dizininde, Kazaa Lite'daki dosya değişim dizininde rastgele isimler altında kopyalayarak yayılır. Ayrıca, Windows Temp klasöründe, rastgele isimlerle birlikte, kendisinin de birkaç kopyasını rastgele isimler içeren bir alt dizin oluşturur.

Bu klasör Windows sistem kayıt defterinde Kazaa dosya paylaşım sistemi için Yerel İçerik olarak tanımlanmıştır.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% klasör adı 

Sonuç olarak, Swen tarafından oluşturulan yeni dosyalar diğer Kazaa ağ kullanıcılarına açıktır.

IRC kanalları üzerinden yayılım

Solucan yüklü mIRC istemcisi için tarar. Swen tespit edilirse, yayma prosedürlerini ekleyerek script.ini dosyasını değiştirir. Bunun üzerine, scrip.ini dosyası, virüslü dosyayı Windows dizininden, şimdi enfekte olmuş IRC kanalına bağlanan tüm kullanıcılara gönderir.

LAN üzerinden yayılım

Solucan tüm mevcut sürücüleri tarar. Bir ağ sürücüsü bulursa, kendisini aşağıdaki klasörlerde rastgele bir ad altında kopyalar:

windowsall usersstart menuprogramstartup
windowsstart menuprogramstartup
winmeall usersstart menuprogramstartup
winmestart menuprogramstartup
win95all kullanicilari menuprogramsstartup
win95start menuprogramstartup
win98all kullanicilari menuprogramsstartup
win98start menuprogramstartup
document ve settingsall kullanıcılar start menuprogramsstartup
document ve settingsdefault kullanıcıları menuprogramsstartup'ı başlatır
document ve settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Diğer

Solucan çeşitli anti-virüs yazılımı ve güvenlik duvarlarının başlatılmasını ve çalışmasını engellemeye çalışır:

 _avpackwin32Anti-Truvaaplica32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntAVPavsched32avwin95avwupd32blackdKara buzBootWarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32eSafeespwatchf agnt95findvirufprotF-Protfprot95f prot95fp-kazanFRWf Stopwdokundurmakiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppifaceiomon98jedi 

 kpfw32lockdown2000bakluallmoolivempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistnupdatenupgradenvc95ileri karakolpadminpavclpavschedpavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trapPViewravregeditkurtarmakSafeWebserv95sfenkssüpürmetcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproBölge alarmı 

Bunlar başlatıldığında Swen aşağıdaki sahte hata meselesini görüntüler:

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com