Доклад: Вирусы

Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.

Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, и т.д.)

Червь также блокирует отсылку писем на домены:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь "Happy"). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом).

Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. "чистый код" червя не в состоянии сомостоятельно распространяться без "помощи" вирусной компоненты.

Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем.

Backdoor

Backdoor-компонента создает в системном реестре два ключа:

HKLM\Software\[MATRIX]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE

где %WinDir% является основным каталогом Windows.

Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows.

При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы.

Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.

Blebla.b

Римейк оригинальной версии червя. При запуске червь копирует себя в систему под именем c:\windows\sysrnj.exe и затем создает и модифицирует множество ключей системного реестра для активизации этой копии.

HKEY_CLASSES_ROOT\rnjfile
\DefaultIcon = %1
\shell\open\command = sysrnj.exe "%1" %*

этот ключ вызывает запуск копии червя при ссылках на файл "rnjfile", все последующие изменяемые червем ключи как раз и перенаправляют управление на копию червя:

HKEY_CLASSES_ROOT \.exe = rnjfile
\.jpg = rnjfile
\.jpeg = rnjfile
\.jpe = rnjfile
\.bmp = rnjfile
\.gif = rnjfile
\.avi = rnjfile
\.mpg = rnjfile
\.mpeg = rnjfile
\.wmf = rnjfile
\.wma = rnjfile
\.wmv = rnjfile
\.mp3 = rnjfile
\.mp2 = rnjfile
\.vqf = rnjfile
\.doc = rnjfile
\.xls = rnjfile
\.zip = rnjfile
\.rar = rnjfile
\.lha = rnjfile
\.arj = rnjfile
\.reg = rnjfile

таким образом, при запуске/открытии файлов .EXE, .JPG, .JPEG и т.д. вызывается копия червя.

Эти ключи вызывают запуск червя при открытии любого из перечисленных выше файлов.

Червь посылает свои копии в конференцию USENET alt.comp.virus в файле, присоединенном к сообщениям:

From: "Romeo&Juliet" [romeo@juliet.v]
Subject:[Romeo&Juliet] R.i.P.

При рассылке своих копий по адресам электронной почты из адресной книги Windows червь использует разные варианты заголовка письма. "Тема" (Subject) сообщений червя может быть пустой, сгенеренной случайным образом или выбранной из следующего списка:

Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...'
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
^_^
Re:

В зависимости от некоторых условий червь создает на зараженной машине в случайной последовательности дисковые каталоги с именами, взятыми наугад из папки \Recycled, и создает в них файлы со случайными же именами.

Макро-вирусы семейства заражают область глобальных макросов (шаблон NORMAL.DOT) при открытии зараженного документа. Другие документы заражаются при их закрытии. Некоторые варианты вируса заражают файлы также при их открытии. При заражении вирусы семейства дописываются к уже существующим макросам документа (если таковые присутствуют).

Вирусы содержат строку текста, по которой определяют начало своего кода. В различных версиях вируса эта строка различна:

<- this is a marker!
<- this is another marker!

Вирусы семейства ведут "отчет" о зараженных компьютерах: при заражении каждого нового компьютера они дописывают к своему коду строки-комментарии, в которые включены дата/время заражения и адрес пользователя (как он хранится в Windows).

Вирусы семейства проявляются различными способами. "Marker.a" в июле начиная с 23-го числа выводят сообщения:

Did You Wish Shankar on his Birthday ?
Thank You! I Love You. You are wonderfull.
You are Heart Less. You Will Be Punished For This

"Marker.c" и некоторые другие варианты посылают свой "отчет" о зараженных компьютерах на какой-то ftp-сервер.

Marker.ay

Когда Word открывает документ, управление получает процедура вируса. Эта процедура проверяет открываемый документ и заражает его если он еще не заражен. Для этого она удаляет все макросы из документа а затем копирует макрос вируса из области глобальных макросов.

Вирус выгружает из памяти все загруженные в Word шаблоны и дополнения (add-ins) и затем удаляет все файлы из каталога автозагрузки Word. Вирус также меняет информацию о пользователе Word:

Имя = "JonMMx 2000"
инициалы = "MeMeX"
Адрес = "JonMMx2000@yahoo.com"

При первом заражении компьютера а также первого числа каждого месяца вирус создает в каталоге Windows файл "Jon.html" и устанавливает его как фон рабочего стола. Этот файл содержит текст:

    a Poet For My Dear Love

         Dear Iin

 To the very best that happen in mylife

 Long ago and in my mind, I can see your face lonely and lost in time

 You were gone since yester month But the memories, never would dissapear

 I think of you, I THINK OF YOU.

 Yes it's true I can pretend. But the paint of blue, keep beat me till the end.

 Yes it's hard to understand. Why you leaving me and all we dreaming on

 Dear Iin, I close my eyes and see your face. That's all I have to do to be with you.

 Dear Iin, altough I can not touch your face. I know what I can do to be with you

 Long ago so faraway. But the light of blue, still living with me today.

 You were gone since yester month. But the memories never would dissapear.

      Speed Hari

Этот интернет-червь написан на языке Java Script. Для своего распространения червь использует MS Outlook Express. В отличие от большинства червей этого класса он не прикрепляет к заражаемому письму дополнительный файл-вложение, а встраивает свое тело в письмо как скрипт.

Червь работает на английской и французской версиях Windows. Червь не работоспособен, если Windows установлена в каталог, отличный от "C:\WINDOWS".

Червь полностью работоспособен только в системах с установленным MS Outlook Express. В MS Outlook червь также активизируется и заражает систему, но распространяться дальше не может. Под другими почтовыми системами работоспособность червя зависит от возможностей данной почтовой системы.

При заражении компьютера червь создает три файла. Первые два используются для заражения системы, третий - для дальнейшего распространения через сообщения электронной почты:

1. KAK.HTA в каталоге автозагрузки Windows
2. HTA-файл со случайным именем в системном каталоге Windows
3. KAK.HTM файл в каталоге Windows

1-го числа месяца после 17:00 червь выводит на экран сообщение:

Kagou-Anti-Kro$oft says not today !

после чего закрывает Windows.

Распространение

Червь приходит на компьютер в виде письма в HTML-формате. Тело письма содержит программу-скрипт на языке JavaScript, которая и является кодом червя. В результате при открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется.

Червь поражает систему в три этапа:

1. Создает свою копию в дисковом файле в каталоге автозагрузки Windows (все программы из этого каталога автоматически запускаются при старте Windows).
2. Будучи запущенным из каталога автозагрузки червь копирует себя в системный каталог Windows и прописывается в системном реестре в секции авто-запуска. Затем удаляет свой первый экземпляр (копию) из каталога автозагрузки Windows.
3. В ключах реестра MS Outlook Express создает новую подпись для писем. Эта подпись ссылается на файл с кодом червя. С этого момента Outlook Express будет сам вставлять код червя во все отсылаемые письма.

Такая "пошаговая" схема необходима червю потому, что на первом шаге (будучи запущенным из сообщения) червь может получить доступ к диску, но не к системному реестру. На втором шаге, когда червь запущен из дискового файла, он удаляет свой файл "KAK.HTA" из каталога автозагрузки Windows чтобы скрыть свое присутствие, т.к. все программы в каталоге автозагрузки видны в меню Start\Programs\Startup Menu (Старт\Программы\Автозагрузка).

Распространиение: этап 1 - червь активизируется из зараженного сообщения

При активизации из зараженного сообщения червь сначала получает доступ к локальному диску компьютера. Чтобы обойти защиту (доступ к диску из скриптов по умолчанию запрещен) червь использует брешь в защите, именуемую "TypeLib Security Vulnerability" - он создает ActiveX-объект, который отмечен как безопасный, но в то же время может создавать файлы на диске. Используя этот объект червь и создает свои файлы на локальном диске компьютера.

Затем червь создает файл "KAK.HTA" и помещает в него свой код. Этот файл будет исполнен при следующей загрузке Windows, т.к. червь создает его в каталоге автозагрузки Windows.

Комментарий:

HTA-файл (HTML Application) - тип файлов, появляющийся после установки MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения, используя скрипт-программы.

При создании файлов червь не определяет истинного местоположения каталога Windows, а всегда предполагает, что Windows установлена в каталоге "C:\WINDOWS". Поэтому червь не работает, если каталог Windows отличен от "C:\WINDOWS". При записи в каталог автозагрузки червь пробует записать в два каталога автозагрузки:

MENUDг~1\PROGRA~1\DгMARR~1 (имя по умолчанию для французской версии Windows)
STARTM~1\Programs\StartUp (имя по умолчанию для английской версии Windows)

Если каталог автозагрузки Windows имеет другое имя (в другой локализации Windows), то червь не может записать свои файлы на диск и поэтому не может распространяться далее.

Распространиение: этап 2 - червь активизируется из файла KAK.HTA

При следующей перезагрузке Windows файл "KAK.HTA" в каталоге автозагрузки получает управление. Скрипт червя, записанный в этом файле, создает такой же HTA-файл в системном каталоге Windows. Этот файл имеет имя, зависящее от настроек системы (например "9A4ADF27.HTA"). Затем червь изменяет системный реестр так, чтобы созданный HTA-файл запускался при каждой загрузке Windows. Задача этого файла - заразить систему заново, если пользователь поменял "подпись по умолчанию" в Outlook Express (т.е. отправляемые письма перестают заражаться).

Затем скрипт в файле "KAK.HTA" создает HTML-файл "KAK.HTM", который содержит код червя (HTML-страница в этом файле не имеет текста, только код червя). Этот файл затем вставляется в отправляемые сообщения.

И, наконец, червь добавляет в файл "C:\AUTOEXEC.BAT" команды, при перезагрузке системы удаляющие файл "KAK.HTA" из каталога автозагрузки - его роль теперь будет исполнять HTA-файл в системном каталоге Windows (см.выше).

Распространиение: этап 3 - рассылка зараженных писем

Скрипт червя меняет секции системного реестра, относящиеся к MS Outlook Express - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на свой файл "KAK.HTM".

В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании новоего сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит все отправляемые сообщения оказываются зараженными.

Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены).

Защита

Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту от этой разновидности червей: каждый раз, когда открывается зараженное сообщение, вирус снова заражает систему. Кроме того, если включен предварительный просмотр сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений - и вирус опять активизируется.

1. Для защиты можно использовать антивирусные мониторы (on-access scanners). Антивирусные мониторы способны поймать червя в момент его записи на диск и предотвратить заражение системы, но в то же время они неспособны предотвратить активизацию скрипта из HTML-письма, т.к. HTML-скрипты выполняются непосредственно в системной памяти компьютера без сохранения их на диск.

Лучший способ - использовать совместно с антивирусными мониторами утилиты, проверяющие скрипт-программы непосредственно перед их выполнением (см. "AVP Script Checker"). Эти программы предотвращают активизацию вредоносного скрипта, а значит гаантируют, что скрипт не сможет заразить или повредить систему.

2. Для записи своих файлов на диск червь использует брешь в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет эту брешь ("Scriptlet.Typelib" security vulnerability). Мы рекомендуем Вам посетить http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить это дополнение.

3. Если Вы не планируете использовать HTML-приложения (HTA-файлы) в своей работе, есть еще один способ обезопасить себя от вирусов, использующих HTA-файлы для своего распространения. Для этого надо удалить ассоциацию к расширению "HTA". Для этого нужно выполнить следующие действия:

1. Открыть окно "My Computer(Мой компьютер)" дважды щелкнув на значке "My Computer(Мой компьютер)" на рабочем столе.
2. В меню выбрать пункт "View(Вид)" -> "Options...(Параметры...)".
3. На закладке "File Types(Типы файлов)" в списке "Registered file types (Зарегистрированные типы файлов)" выбрать "HTML Applicaton".
4. Щелкнуть на кнопке "Remove(Удалить)" и подтвердить действие.
5. Закрыть диалоговое окно настроек.