Віруси

Лаборатория Касперского.

Интернет-червь «Курникова «переслідує шанувальників знаменитої тенісистки Крім тих, хто використовує Антивірус Касперського.

" Лабораторія Касперского ", російський пріоритет у області розробки систем інформаційну безпеку, повідомляє про виявленні в «дикому вигляді «нової модифікації Інтернет-хробака «Lee », більш як «Курникова ». Черв’як вже встиг вразити ряд комп’ютерних систем до й Східній Азії. Разом про те, не представляє ніякої небезпеку користувачів Антивірусу Касперского: завдяки інтегрованої у програмі унікальну технологію евристичного аналізу програмного коду, ця шкідлива програма можна знайти без будь-яких додаткових оновлень антивірусної бази.

Методы поширення й досвід роботи даного хробака практично ідентичні сумнозвісного «ILOVEYOU », який викликав глобальну епідемію у травні минулого року її. «Курникова «створено з допомогою генератора вірусів «[K]Alamar «p.s Vbs Worms Creator », що дозволяє навіть початківцям користувачам випускати свої власні віруси. Черв’як написано мовою програмування Visual Basic Script (VBS), зашифрований і поширюється через мережу Інтернет з допомогою повідомлень електронної пошти, містять вкладений файл «AnnaKournikova.jpg.vbs » .

lee.bmp.

После запуску файла хробак реєструє себе у системному реєстрі Windows, отримує доступом до адресній книзі поштової програми MS Outlook та непомітно для користувача розсилає свої копії за всі знайденим адресами електронної пошти. Щоб уникнути повторної розсилки хробак створює додатковий ключ в системному реєстрі:

HKEY_CURRENT_USERSoftwareOnTheFlymailed.

Червь зовсім позбавлений якихось небезпечних побічних дій. Крім масової розсилки заражених файлів, перегружающей корпоративні і персональні канали передачі, 26 січня «Курникова «запускає Интернет-броузер і це відкриває голландський Web сайт:

Dynabyte.bmp.

Подобно «ILOVEYOU «даний хробак використовує хитрість з «подвійним «розширенням файла-носителя вірусу: «JPG.VBS ». Присутність помилкового розширення «JPG «в імені файла має на меті дезорієнтувати користувача, впевненого у тому, що програми подібного типу що неспроможні утримувати віруси. Проте за запуску файла він передається на обробку процесору скрипт-программ Windows Scripting Host, що й виконує код хробака.

" Курникова «- далеко ще не технологічне досягнення у створення шкідливих програм. Це найбільш звичайний скрипт-вірус, використовує добре відомі методи проникнення на комп’ютери. Єдина причина, завдяки якому він набув поширення — використання імені Анни Курникової, добре відомого як чудової грою в теніс, але й почасти гіпнотичним впливом на чоловічу половину людства. Остання обставина та обумовила неможливість деяких користувачів встояти перед спокусою оцінити фотографію улюбленої спортсменки » , — коментує Денис Зенкин, керівник інформаційної служби «Лабораторії Касперского » .

Предотвращение зараження.

В цілях недопущення проникнення хробака «Лабораторія Касперского «радить користувачам в жодному разі запускати файл «AnnaKournikova.jpg.vbs ». Ми також рекомендуємо системним адміністраторам налаштувати фільтри яка входить і що виходить поштової кореспонденції в такий спосіб, щоб блокувати пересилку електронних повідомлень, містять такі файли.

Методы видалення.

Для видалення із системи даного Інтернет-хробака необхідні такі кроки:

1) видалити файл «AnnaKournikova.jpg.vbs «з системного каталогу Windows; 2) стерти такі ключі системного реєстру Windows: HKEY_CURRENT_USERSoftwareOnTheFly HKEY_CURRENT_USERSoftwareOnTheFlymailed.

Напомним, що це Интернет-червь визначається «Антивирусом Касперского «за умовчанням і потребує доповнень антивірусної бази.

Информационная служба «Лабораторії Касперского «.

Вирус-червь, що заражає системи під керівництвом Win32. Заражає докладання Win32, встановлює троянську програму типу «Backdoor », намагається розсилати себе у електронних листах. Черв’як викликав глобальну епідемію У вересні-жовтні 2000 року.

Имеет досить незвичну структуру і складається з трьох практично незалежних частин, які виконуються незалежно друг від друга. Цими трьома компонентами є: вірус, що заражає EXE-файлы Win32; хробак, який розсилатиме електронні листи; троянец-backdoor.

Две останні компоненти зберігаються у тілі вірусу в упакованому вигляді. При старті вірус розпаковує і запускає їх у выполнение:

Структура вірусу р=============== ¦ Вірусні ¦ —> инсталлирует до системи компоненти хробака і backdoor, ¦ процедури ¦ потім шукає і заражає Win32 EXE-файлы ¦ иснталляции і ¦ ¦ зараження EXE ¦ ¦———————-¦ ¦ Код хробака ¦ —> розпаковується і запускається як окрема програма ¦ (упакований) ¦ ¦———————-¦ ¦ Backdoor-код ¦ —> розпаковується і запускається як окрема програма ¦ (упаковаан) ¦ L===============- Заражений EXE-файл р=============== ¦ Код і такі ¦ ¦ файла ¦ ¦ ¦ ¦===============¦ ¦ Код вірусу: ¦ ¦———————¦ ¦¦ Інсталяція ¦¦ ¦¦ і зараження ¦¦ ¦+——————-+¦ ¦¦ Черв’як ¦¦ ¦+——————-+¦ ¦¦ Backdoor ¦¦ ¦L———————¦ L===============-

Следует відзначити, що код хробака зовсім позбавлений всіх процедур необхідних, для зараження системи з листа електронної пошти. Через це хробак поширюється в електронних листах, будучи сам заражений вірусом (див. нижче). Навіщо знадобилася така надлишково складна технологія — недостатньо понятно.

Вирусная компонента містить рядки текста:

SABI+.b ViRuS Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy in #virus and Vecna for help us Visit us at: internet.

Червь містить текст:

Software provide by [MATRiX] VX team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy on #virus channel and Vecna Visit us: internet.

Backdoor містить текст:

Software provide by [MATRiX] team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 source codes and ideas.

Вірусна компонента

При зараження файлів вірус використовує технологію «Entry Point Obscuring «(без точки входу), тобто. вірус записується над стартовий адресу заражаемой програми, а якесь інше місце. У цьому разі вірус записується насамкінець файла і виправляє підходящу інструкцію у середині файла: записує у ній команду переходу на код. Через війну вірус отримує управління над момент запуску зараженого файла, тоді, коли отримує управління відповідний блок коду зараженої программы.

Код вірусу в файлах зашифрований, і вірус спочатку розшифровує себе і потім передає управління зважується на власну основну процедуру.

Перед тим, як інсталювати інші компоненти і заражати файли вірус шукає у системі антивірусні програми розвитку й припиняє своєї роботи, якщо з них обнаружена:

AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan.

Затем вірус инсталлирует компоненти хробака і backdoor. Усього створюється три файла, вони створюють у каталозі Windows і мають атрибут «прихований » :

IE_PACK.EXE — «чистий код «компоненты-червя WIN32. DLL — хробак (копія попереднього файла), заражений вірусом MTX_.EXE — backdoor-компонента.

Затем вірус шукає і заражає Win32 EXE-файлы нинішнього року, часовому і основному каталозі Windows і завершує свою работу.

Черв’як

Для розсилки заражених повідомлень хробак використовує метод, вперше виявлений у Интернет-черве «Happy ». Черв’як записує зі своїх процедур в файл WSOCK32. DLL в такий спосіб, що вона перехоплює відсилання даних до Інтернету (процедура «send »). У результаті хробак в зараженої бібліотеці WSOCK32. DLL отримує управління щоразу, коли будь-які дані вирушають на Интернет.

Обычно при старті хробака файл WSOCK32. DLL вже будь-яким додатком Windows і заблокований на запис, що унеможливлює негайне його зараження. Черв’як обходить це дуже стандартним методом: копіює цей файл безпосередньо з ім'ям WSOCK32. MTX, заражає копію і записує в файл WININIT. INI команди заміщення файла WSOCK32. DLL на заражений WSOCK32. MTX при наступній перезавантаженні Windows, например:

NUL=C:WINDOWSSYSTEMWSOCK32.DLL C: WINDOWSSYSTEMWSOCK32. DLL=D:WINDOWSSYSTEMWSOCK32.MTX.

После перезавантаження хробак активізується як компонента WSOCK32. DLL і перевіряє дані і команди, які відсилаються в Интернет.

Особое увагу хробак приділяє Интернет-адресам антивірусних компаній, і блокує відсилання листів на адреси цих компаній, як і відвідання їх Web-сайтів. Черв’як детектирует ці імена по 4-символьным комбинациям:

nii. nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman (NAI, AVP, F-Secure, Panda, Sophos, тощо.).

Червь також блокує відсилання листів на домены:

wildlist.o* il.esafe.c* perfectsup* complex. is* HiServ.com* hiserv.com* metro. ch* beyond.com* mcafee.com* pandasoftw* earthlink.* inexar.com* comkom.co.* meditrade.* mabex.com * cellco.com* symantec. c* successful* inforamp. n* newell.com* singnet.co* bmcd.com.a* bca.com.nz* trendmicro* sophos.com* maple.com.* netsales. n* f-secure.c*.

Червь також перехоплює відправлений електронні листи і посилає сообщение-двойник зі своїми копією, прикріпленій до листа (як і, як і робить хробак «Happy »). Ім'я вкладеного файла вибирається з кількох варіантів залежно від дня месяца:

README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$ 100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON. SCR FUCKING_WITH_DOGS.SCR MATRiX₂_is_OUT.SCR zipped_files.EXE BLINK₁₈₂.MP3.pif.

В ролі файла-вложения використовується WIN32. DLL, створений вірусної компонентом при інсталяції до системи (WIN32.DLL є кодом хробака, заражених вирусом).

Следует відзначити, що сама хробак не створює WIN32. DLL і нездатний до подальшого поширення самотужки файла. Тобто. «чистий код «хробака неспроможна сомостоятельно поширюватися без «допомоги «вірусної компоненты.

Известные версії хробака містять помилку, у яких багато поштові серверу неспроможна прийняти повідомлення з кодом червя-вируса. Проте, якщо використовується з'єднання Dial-up чи поштовий сервер має достатню потужність, хробак розсилає себе без особливих труднощів.

Backdoor

Backdoor-компонента створює в системному реєстрі два ключа:

HKLMSoftware[MATRIX] HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup=%WinDir%MTX_.EXE.

где %WinDir% є основним каталогом Windows.

Первый ключ є ідентифікатором зараженості системи; другий ключ використовується для авто-запуска backdoor-компоненты при кожному рестарте Windows.

При запуску backdoor-компонента залишається активної як приховане додаток (сервіс), періодично звертається і якомусь Інтернет-серверу і намагається скачати звідти файли, які потім таємно запускаються виконання. Отже, backdoor-компонента може за бажання автора вірусу заразити комп’ютер іншими вірусами чи встановити інші троянські программы.

Эта компонента також має помилку, у яких при скачивании файлів Windows видає стандартне повідомлення про помилку при застосуванні і завершує його работу.

Blebla.b

Римейк оригінальної версії хробака. Після запуску хробак копіює себе у систему під назвою c: windowssysrnj. exe і далі створює наразі і модифікує безліч ключів системного реєстру для активізації цієї копии.

HKEY_CLASSES_ROOTrnjfile DefaultIcon = %1 shellopencommand = sysrnj. exe «%1 «%*.

этот ключ викликає запуск копії хробака при посиланнях на файл «rnjfile », всі наступні змінювані хробаком ключі таки перенаправляют управління на копію червя:

HKEY_CLASSES_ROOT .exe = rnjfile .jpg = rnjfile .jpeg = rnjfile .jpe = rnjfile .bmp = rnjfile .gif = rnjfile .avi = rnjfile .mpg = rnjfile .mpeg = rnjfile .wmf = rnjfile .wma = rnjfile .wmv = rnjfile .mp3 = rnjfile .mp2 = rnjfile .vqf = rnjfile .doc = rnjfile .xls = rnjfile .zip = rnjfile .rar = rnjfile .lha = rnjfile .arj = rnjfile .reg = rnjfile.

таким чином, при запуске/открытии файлів .EXE, .JPG, .JPEG тощо. викликається копія червя.

Эти ключі викликають запуск хробака під час відкриття кожного з перелічених вище файлов.

Червь посилає свої копії в конференцію USENET alt.comp.virus в файлі, приєднаному до повідомлень:

From: «Romeo&Juliet «[[email protected]] Subject:[Romeo&Juliet] R.i.P.

При розсилання своїх копій за адресами електронної пошти з адресної книжки Windows хробак використовує різноманітні варіанти заголовка листи. «Тема «(Subject) повідомлень хробака то, можливо порожній, сгенеренной випадково чи обраної із наступного списку:

Romeo&Juliet where is my ju-liet? where is my romeo? hi last wish ??? lol :) ,… " !!! newborn merry christmas! surprise ! Caution: NEW VIRUS ! scandal ! ^_^ Re:

В залежність від деяких умов хробак створює на зараженої машині у випадковій послідовності дискові каталоги із конкретними іменами, узятими навмання з папки Recycled, і це створює у яких файли зі випадковими ж іменами.

Макро-вирусы сімейства заражають область глобальних макросів (шаблон NORMAL. DOT) під час відкриття зараженого документа. Інші документи заражаються при їх закритті. Деякі варіанти вірусу заражають файли також за їх відкритті. При зараження віруси сімейства дописують до наявних макросам документа (якщо вони присутствуют).

Вирусы містять рядок тексту, через яку визначають початок свого коду. У різних версіях вірусу ця рядок различна: