Email-Worm.Win32.Swen

Технические детали

Очень опасный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через сеть файлообмена Kazaa и каналы IRC и открытым сетевым ресурсам.

Написан на языке Microsoft Visual C++ и имеет размер около 105KB (106496 байт).

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении) или если почтовая программа содержит уязвимость IFrame.FileDownload (аналогично червям Klez и Tanatos). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Патч для устранения данной уязвимости выпущен в марте 2001 года - Microsoft Security Bulletin MS01-20.

Червь блокирует работу различных антивирусных программ и межсетевых экранов. Алгоритм работы червя и различные тексты в коде практически идентичны другому сетевому червю - I-Worm.Gibe, однако язык программирования у них разный.

Инсталляция

При первом запуске червь может выводить на экран окно, с заголовком "Microsoft Internet Update Pack" и затем имитирует установку патча:

Червь копирует себя под одним из имен в каталог Windows. Имя формируется из нескольких частей.

Первый вариант имени:

1. Kazaa Lite
   KaZaA media desktop
   KaZaA
   WinRar
   WinZip
   Winamp
   Mirc
   Download Accelerator
   GetRight FTP
   Windows Media Player

2. Key generator
   Hack
   Hacked
   Warez
   Upload
   Installer
   Upload
   Installer

Второй вариант имени:

1. Bugbear
   Yaha
   Gibe
   Sircam
   Sobig
   Klez

2. Remover
   RemovalTool
   Cleaner
   Fixtool

Третий вариант имени:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Serials
Jenna Jameson
Hardporn
Sex
Xbox Emulator
Emulator Ps2
Xp Update
Xxx Video
Sick Joke
Xxx Pictures
My Naked Sister
Hallucinogenic Screensaver
Cooking With Cannabis
Magic Mushrooms Growing
Virus Generator

Созданный файл регистрируется в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  произвольное значение = %windir%\имя файла autorun

Создает метку-идентификатор, в которой сохраняет свои конфигурационные значения:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
  произвольное значение

Cоздает в каталоге Windows файл с именем зараженной машины и расширением BAT, со следующими командами:

@ECHO OFF
IF NOT "%1"=="" <имя файла червя>.exe %1

Изменяет значения ключей в HKLM\Software\Classes таким образом, чтобы получать управление при каждом запуске файлов форматов BAT, COM, EXE, PIF, REG и SCR:

HKCR\batfile\shell\open\command 
  Default = %windir%\имя файла червя "%1" %* 

HKCR\comfile\shell\open\command 
  Default = %windir%\имя файла червя "%1" %* 
   
HKEY_CLASSES_ROOT\exefile\shell\open\command 
  Default = %windir%\имя файла червя "%1" %* 

HKCR\piffile\shell\open\command 
  Default = %windir%\имя файла червя "%1" %* 

HKCR\regfile\shell\open\command 
  Default = %windir%\имя файла червя showerror 

HKCR\scrfile\shell\config\command
  Default = %windir%\имя файла червя "%1" 
  
HKCR\scrfile\shell\open\command 
  Default = %windir%\имя файла червя "%1" /S

Отключает возможность редактирования системного реестра:

HKCU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
  DisableRegistryTools = 01 00 00 00

При первом заражении машины червь обращается к удаленному сайту:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Таким образом, данный счетчик является индикатором количества зараженных машин.

При попытке запуска файла червя, который уже инсталлирован в систему, выводит сообщение:

Червь ищет на дисках файлы с расширениями DBX, MDX, EML, WAB, а также содержащие в расширении символы HT и ASP. Из них он извлекает найденные адреса электронной почты, которые сохраняет в файле germs0.dbv.

Червь пытается подключиться к одному из 350 серверов, содержащихся в файле swen1.dat, для отправки зараженных писем. Если ни к одному из серверов подключиться не удалось, червь выводит на экран ложное сообщение об ошибке MAPI 32 Exception...

...и просит указать корректный адрес электронной почты и SMTP-сервера.

Размножение через Email

Червь рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл (сам червь).

Имя отправителя (составляется из нескольких частей):

1. Microsoft
   MS

2. (может не использоваться)
   Corporation

3. (может не использоваться)
   Program
   Internet
   Network

4. (всегда, если использована часть 3)
   Security

5. (может не использоваться)
   Division
   Section
   Department
   Center

6. (может не использоваться)
   Public
   Technical
   Customer

7. (может не использоваться)
   Bulletin
   Services
   Assistance
   Support

Например:

Microsoft Internet Security Section
MS Technical Assistance

Адрес отправителя (составляется из двух частей):

• адрес до символа "@": произвольно сгенерированный (например tuevprkpevcg-gxwi@, dwffa@);
• адрес после символа "@": составляется из двух частей (может использоваться только одна часть):
  1. news
     newsletter
     bulletin
     confidence
     advisor
     updates
     technet
     support

  2. msdn
     microsoft
     ms
     msn

  Например: "newsletter.microsoft" или же просто "support". Если использованы обе части, то между используется либо ".", либо "_".

  После символа "." подставляется либо домен "com" либо "net".

Тема письма (составляется из разных частей):

1. Latest
   New
   Last
   Newest
   Current

2. Net
   Network
   Microsoft
   Internet

3. Security
   Critical

4. Upgrade
   Pack
   Update
   Patch

Текст письма:

MS Client (Consumer,Partner,User - выбирается произвольно)
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don't need to do anything after installing this item.

Подпись текста письма:

Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/

For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/

Thank you for using Microsoft products.

Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.

----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.

Имя вложения:

patch[произвольное число].exe
install[произвольное число].exe
q[произвольное число].exe
update[произвольное число].exe

В зависимости от различных условий может отправляться упрощенный вариант письма:

Тема письма может содержать строки:

Letter
Advise
Message
Announcement
Report
Notice
Bug
Error
Abort
Failed
User Unknown

Текст может содержать следующие строчки:

Hi!
This is the qmail program
Message from [произвольное значение]
I'm sorry
I'm sorry to have to inform that
I'm afraid
I'm afraid I wasn't able to deliver your message to the following addresses
the message returned below could not be delivered
I wasn't able to deliver your message
to one or more destinations

В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).

Размножение через Kazaa

Червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным именем и копирует туда несколько своих копий с различными именами.

Данный каталог указывается в системном реестре Windows как Local Content системы файлообмена Kazaa:

HKCU\Software\Kazaa\LocalContent
 dir99 = 012345:%Windir%\%temp%\имя каталога

В результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.

Размножение по IRC

Червь ищет на машине установленный клиент mIRC и если таковой обнаружен - перезаписывает файл script.ini процедуры рассылки. Файл-скрипт script.ini затем отсылает зараженный файл из каталога Windows, всем кто подключается к зараженному IRC-каналу.

Размножение по локальной сети

Червь последовательно перебирает все доступные диски и если находит сетевой, то копирует себя туда с произвольным именем в каталоги:

windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup

Прочее

Червь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов.

_avp ackwin32 anti-trojan aplica32 apvxdwin autodown avconsol ave32 avgcc32 avgctrl avgw avkserv avnt avp avsched32 avwin95 avwupd32 blackd blackice bootwarn ccapp ccshtdwn cfiadmin cfiaudit cfind cfinet claw95 dv95 ecengine efinet32 esafe espwatch f-agnt95 findviru fprot f-prot fprot95 f-prot95 fp-win frw f-stopw gibe iamapp iamserv ibmasn ibmavsp icload95 icloadnt icmon icmoon icssuppnt icsupp iface iomon98 jedi

kpfw32 lockdown2000 lookout luall moolive mpftray msconfig nai_vs_stat navapw32 navlu32 navnt navsched navw nisum nmain normist nupdate nupgrade nvc95 outpost padmin pavcl pavsched pavw pcciomon pccmain pccwin98 pcfwallicon persfw pop3trap pview rav regedit rescue safeweb serv95 sphinx sweep tca tds2 vcleaner vcontrol vet32 vet95 vet98 vettray vscan vsecomr vshwin32 vsstat webtrap wfindv32 zapro zonealarm

При попытке их запуска выводит ложное сообщение об ошибке: