|
Advanced Member
Регистрация: 19.12.2002
Сообщения: 492
|
В нете небольшая эпидемия, я думаю это про это:
I-Worm.Tanatos.b (I-Worm.Bugbear Backdoor)
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также заражает исполнительные (EXE) файлы Windows и содержит троянские процедуры удалённого управления зараженным компьютером (backdoor).
Червь является приложением Windows (PE EXE-файл), имеет размер около 72Kb (упакован UPX и зашифрован поверх UPX-сжатия). Распакованный размер - около 170Kb. Червь написан на Microsoft Visual C++.
В теле вируса содержатся строки:
w32shamur
W32.Shamur
tanatos
Инсталляция
При инсталляции червь копирует себя в директорию Windows под случайно выбранным именем. Новых ключей в реестре не создается. Кроме того, червь создает свою копию во временной директории Windows с названием "vba%rnd%.TMP" (здесь и далее %rnd% - случайно выбранная строка чисел). Эта копия затем запускается, работает в качестве активного системного сервиса (не отображается в списке задач).
Червь также создает:
в системной директории Windows:
gpflmvo.dll - перехватчик нажатий клавиш на клавиатуре (примерно 6K размером)
zpknpzk.dll - внутренний файл данных
shtchs.dll - внутренний файл данных
в директории Windows:
%rnd%.dat - внутренний файл данных
Распространение
Червь использует собственный встроенный SMPT-движок для рассылки зараженных писем. Червь ищет email-адреса на доступных дисках в следующих файлах:
*.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX
Поле "От" либо фальсифицируется (выбирается случайным образом из других найденных на зараженном компьютере адресов), либо оставляется оригинальным - вариант выбирается случайно.
Зараженные письма содержат самый разнообразный текст в теме и теле письма. Червь произвольно выбирает его из текстовых файлов на дисках или же использует одну из следующих строк в поле "Тема":
Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this! fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!
Название вложенных файлов выбирается произвольно несколькими путями:
1. Червь ищет файлы с расширением *.INI в персональных папках пользователя. В случае обнаружения файла с названием "%filename%.INI", червь рассылает себя с названием "%filename%.%ext", где %ext% выбирается случайным образом из ".scr", ".pif", ".exe".
2. Червь выбирает название вложенного файла случайно из следующих вариантов:
readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data
Расширение файла выбирается случайно из тех же вариантов: ".scr", ".pif", ".exe".
3. Червь ищет файлы *.BMP, *.DOC, *.GIF, *.JPG, *.RTF и пр., и использует их полные названия в качестве имени инфицированного вложения. В этом случае, вложенные файлы имею двойные расширения, например:
doc1.doc.exe euro.gif.scr table.xls.pif
4. Червь отсылает себя под названием "setup.exe".
Некоторые зараженные письма случайным образом содержат уязвимость IFrame, позволяющую запускать вложения при просмотре письма. В остальных письмах червь активизируется только после запуска вложенного файла пользователем.
Инфицирование файлов EXE
При заражении исполнительного файла червь записывает себя в конец файла. Копия червя "встраивается" в структуру заражаемого файла: добавляются "секции", модифицируется PE-заголовок, производятся необходимые изменения в секциях "Import" и "Fixup".
Червь использует "легкую" полиморфик-процедуру шифрации поверх своего упакованного UPX тела.
Червь заражает несколько файлов в системе:
"стандартные" EXE-файлы в директории "Program Files":
winzip\winzip32.exe
kazaa\kazaa.exe
ICQ\Icq.exe
DAP\DAP.exe
Winamp\winamp.exe
AIM95\aim.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
Trillian\Trillian.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
StreamCast\Morpheus\Morpheus.exe
QuickTime\QuickTimePlayer.exe
WS_FTP\WS_FTP95.exe
MSN Messenger\msnmsgr.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
CuteFTP\cutftp32.exe
Far\Far.exe
Outlook Express\msimn.exe
Real\RealPlayer\realplay.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
adobe\acrobat 5.0\reader\acrord32.exe
Internet Explorer\iexplore.exe
и в директории Windows:
winhelp.exe
notepad.exe
hh.exe
mplayer.exe
regedit.exe
scandskw.exe
Заражение сети
Червь распознает сетевые ресурсы и затем копирует себя по ним в папки автозапуска со случайно выбранным именем и расширением ".exe" или же просто как "setup.exe". Червь также ищет "стандартные" EXE-файлы (см. выше) в общих папках и заражает их.
Удалённое управление (backdoor)
Червь открывает порт 1080 и ожидает запроса своего "владельца". Эта процедура позволяет осуществлять следующие операции:
просматривать информацию о дисках и файлах;
копировать и удалять файлы;
просматривать перечень запущенных приложений;
останавливать запущенное приложение;
запускать локальный файл по требованию "владельца" червя;
получать от "владельца" файл и запускать его;
вести логи нажатий клавиш на клавиатуре;
открывать HTTP-сервер для получения доступа к ресурсам дисков и сети.
Процедура PSW Trojan
Процедура активизируется только если используемый в системе по умолчанию SMTP-сервер принадлежит к одному из указанных в списке ниже. Большинство этих адресов используются коммерческими банками. В этом случае, червь отправляет кэшированные пароли и отслеженные нажатия на клавиатуру своему "владельцу" (на электронный адрес, выбираемый случайно из 10 вариантов).
Адреса серверов, на которых активизируется троянец (всего - 1376 адресов):
woodrow.mpls.frb.fed.us
ucpb.com
thebank.com
statebank-dillon.com
nettbank.fellesdata.no
netbanco.cpp.pt
inlineaweb.bpm.it
homebank.nbg.gr
guernseybank.com
firstfedamerica.portalvault.com
egnatiasite.egnatiabank.gr
dnb.no
bossa.pl
blcnet.com
banque-de-savoie.com
bancaakros.webank.it
antonveneta.it
anb.portalvault.com
ain.hangseng.com
1stnatbank.com
zionsbank.com
zhkb.ch
yosemitebank.com
yonkers.com
ykb.com
yesbank.com
yellowstonebank.com
и др.
Червь останавливает активные дебаггеры, антивирусы и сетевые экраны:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
LOCKDOWN2000.EXE
Червь также собирает кэшированные пароли и отправляет их своему "владельцу".
|