Технические детали
Очень опасный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через сеть файлообмена Kazaa и каналы IRC и открытым сетевым ресурсам.
Написан на языке Microsoft Visual C++ и имеет размер около 105KB (106496 байт).
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении) или если почтовая программа содержит уязвимость IFrame.FileDownload (аналогично червям Klez и Tanatos). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Патч для устранения данной уязвимости выпущен в марте 2001 года - Microsoft Security Bulletin MS01-20.
Червь блокирует работу различных антивирусных программ и межсетевых экранов. Алгоритм работы червя и различные тексты в коде практически идентичны другому сетевому червю -
I-Worm.Gibe, однако язык программирования у них разный.
Инсталляция
При первом запуске червь может выводить на экран окно, с заголовком "Microsoft Internet Update Pack" и затем имитирует установку патча:
Червь копирует себя под одним из имен в каталог Windows. Имя формируется из нескольких частей.
Первый вариант имени:
- Kazaa Lite
KaZaA media desktop
KaZaA
WinRar
WinZip
Winamp
Mirc
Download Accelerator
GetRight FTP
Windows Media Player
- Key generator
Hack
Hacked
Warez
Upload
Installer
Upload
Installer
Второй вариант имени:
- Bugbear
Yaha
Gibe
Sircam
Sobig
Klez
- Remover
RemovalTool
Cleaner
Fixtool
Третий вариант имени:
Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 Serials
Jenna Jameson
Hardporn
Sex
Xbox Emulator
Emulator Ps2
Xp Update
Xxx Video
Sick Joke
Xxx Pictures
My Naked Sister
Hallucinogenic Screensaver
Cooking With Cannabis
Magic Mushrooms Growing
Virus Generator
Созданный файл регистрируется в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
произвольное значение = %windir%\имя файла autorun
Создает метку-идентификатор, в которой сохраняет свои конфигурационные значения:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
произвольное значение
Cоздает в каталоге Windows файл с именем зараженной машины и расширением BAT, со следующими командами:
@ECHO OFF
IF NOT "%1"=="" <имя файла червя>.exe %1
Изменяет значения ключей в HKLM\Software\Classes таким образом, чтобы получать управление при каждом запуске файлов форматов BAT, COM, EXE, PIF, REG и SCR:
HKCR\batfile\shell\open\command
Default = %windir%\имя файла червя "%1" %*
HKCR\comfile\shell\open\command
Default = %windir%\имя файла червя "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
Default = %windir%\имя файла червя "%1" %*
HKCR\piffile\shell\open\command
Default = %windir%\имя файла червя "%1" %*
HKCR\regfile\shell\open\command
Default = %windir%\имя файла червя showerror
HKCR\scrfile\shell\config\command
Default = %windir%\имя файла червя "%1"
HKCR\scrfile\shell\open\command
Default = %windir%\имя файла червя "%1" /S
Отключает возможность редактирования системного реестра:
HKCU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 01 00 00 00
При первом заражении машины червь обращается к удаленному сайту:
http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006
Таким образом, данный счетчик является индикатором количества зараженных машин.
При попытке запуска файла червя, который уже инсталлирован в систему, выводит сообщение:
Червь ищет на дисках файлы с расширениями DBX, MDX, EML, WAB, а также содержащие в расширении символы HT и ASP. Из них он извлекает найденные адреса электронной почты, которые сохраняет в файле germs0.dbv.
Червь пытается подключиться к одному из 350 серверов, содержащихся в файле swen1.dat, для отправки зараженных писем. Если ни к одному из серверов подключиться не удалось, червь выводит на экран ложное сообщение об ошибке MAPI 32 Exception...
...и просит указать корректный адрес электронной почты и SMTP-сервера.
Размножение через Email
Червь рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл (сам червь).
Имя отправителя (составляется из нескольких частей):
- Microsoft
MS
- (может не использоваться)
Corporation
- (может не использоваться)
Program
Internet
Network
- (всегда, если использована часть 3)
Security
- (может не использоваться)
Division
Section
Department
Center
- (может не использоваться)
Public
Technical
Customer
- (может не использоваться)
Bulletin
Services
Assistance
Support
Например:
Microsoft Internet Security Section
MS Technical Assistance
Адрес отправителя (составляется из двух частей):
- адрес до символа "@": произвольно сгенерированный (например tuevprkpevcg-gxwi@, dwffa@);
- адрес после символа "@": составляется из двух частей (может использоваться только одна часть):
- news
newsletter
bulletin
confidence
advisor
updates
technet
support
- msdn
microsoft
ms
msn
Например: "newsletter.microsoft" или же просто "support". Если использованы обе части, то между используется либо ".", либо "_".
После символа "." подставляется либо домен "com" либо "net".
Тема письма (составляется из разных частей):
- Latest
New
Last
Newest
Current
- Net
Network
Microsoft
Internet
- Security
Critical
- Upgrade
Pack
Update
Patch
Текст письма:
MS Client (Consumer,Partner,User - выбирается произвольно)
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.
System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don't need to do anything after installing this item.
Подпись текста письма:
Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/
For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/
Thank you for using Microsoft products.
Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.
----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.
Имя вложения:
patch[произвольное число].exe
install[произвольное число].exe
q[произвольное число].exe
update[произвольное число].exe
В зависимости от различных условий может отправляться упрощенный вариант письма:
- Тема письма может содержать строки:
Letter
Advise
Message
Announcement
Report
Notice
Bug
Error
Abort
Failed
User Unknown
- Текст может содержать следующие строчки:
Hi!
This is the qmail program
Message from [произвольное значение]
I'm sorry
I'm sorry to have to inform that
I'm afraid
I'm afraid I wasn't able to deliver your message to the following addresses
the message returned below could not be delivered
I wasn't able to deliver your message
to one or more destinations
В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).
Размножение через Kazaa
Червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным именем и копирует туда несколько своих копий с различными именами.
Данный каталог указывается в системном реестре Windows как Local Content системы файлообмена Kazaa:
HKCU\Software\Kazaa\LocalContent
dir99 = 012345:%Windir%\%temp%\имя каталога
В результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.
Размножение по IRC
Червь ищет на машине установленный клиент mIRC и если таковой обнаружен - перезаписывает файл script.ini процедуры рассылки. Файл-скрипт script.ini затем отсылает зараженный файл из каталога Windows, всем кто подключается к зараженному IRC-каналу.
Размножение по локальной сети
Червь последовательно перебирает все доступные диски и если находит сетевой, то копирует себя туда с произвольным именем в каталоги:
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
Прочее
Червь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов.
_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi |
kpfw32
lockdown2000
lookout
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm |
При попытке их запуска выводит ложное сообщение об ошибке:
RSS-каналы
