Червяк умный. На одно письмо дважды не отвечает

Автор: manager Суббота, Март 15th, 2008 Нет комментариев

Рубрика: Безопасность

Все новые и новые дырки приходится штопать в самых распространенных программных продуктах. Все новых паразитов вылавливать с необъятных полей больших и малых винчестеров. Заражение компьютера и распространение вирусов обычно происходит до безобразия просто и легко.

Дыры

Продукт: AOL Instant Messenger by Netscape, v.4 и выше.
Опасность: низкая.
При принятии файла вида %s%s%s%s%s%s%s%s%s%s.jpg AOL подвисает, в некоторых случаях компанию ему составляет вся система. Проще говоря, типичная DoS атака.

Электронные паразиты

Название: WIN32.MTV.
Класс: вирус, резидентный, деструктивный.
Платформа: Win32.
Опасность: высокая.
Заражение компьютера происходит в результате запуска заразного файла. Остается в памяти Windows как обычное приложение, ищет EXE-файлы во всех каталогах диска C и заражает их. При заражении шифрует содержимое файла, сдвигает его вниз на длину вируса, а сам записывается в начало файла. Если при работе возникают какие-либо ошибки, выводит сообщение с текстом “Sorry” (какой вежливый), и принудительно завершает работу Windows (а вот это уже наглость!). И берегитесь: 13 числа каждого месяца удаляет все файлы с диска C.

Название: FlashKiller
Класс: троян, очень деструктивный
Платформа: Win32.
Опасность: очень высокая.
FlashKiller обладает всеми присущиму троянам функциями (т.е. процедурой распространения), но с добавлением одной очень неприятной вещи. Приходит троян, как и обычно, приаттаченным к письму в виде Win32 EXE файла. При запуске включается процедура посылки копий трояна всем адресатам из базы данных адресов Outlook/OutlookExpress. А вот затем срабатывает процедура, уничтожающая все данные на винчестере и стирающая Flash Bios, наподобие WinCiH. Анализ трояна показал, что это процедура была полностью списана из CiH, что уже облегчает нахождение паразита.

Название: Dilber.
Класс: интернет-червь.
Платформа: Win32,WinNT.
Опасность: низкая.
Классический червяк. Написан на языке Delphi. Как всегда приходит в виде аттача к письму. При запуске инсталлируется в систему, копирует себя в каталог Windows с именами SETUP_.EXE, DILBERTDANCE.jpg.EXE и регистрирует SETUP_.EXE в системном реестре так, чтобы запускаться каждый раз при рестарте системы (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Unchained Infection = WinDir\setup_.exe).

Червь также регистрирует себя в секции авто-старта файла WIN.INI:
[windows]

run=WinDir\setup_exe

При загрузке вирус остается как в памяти как фоновое приложение (под Win9x) или как системный сервис (под WinNT), имеющее две процедуры. Одна из них срабатывает каждые 40 минут и отвечает за рассылку червя, вторая отвечает за заражение компьютеров в локальной сети и активируется раз в час.

Процедура рассылки создает файл SENDMAIL.VBS, который содержит скрипт-программу рассылки.

Программа открывает папку Входящие(Inbox) и отвечает на 20 писем (естественно, не забывая заботливо вложит в письмо файл с червем). После отправки скрипт помечает обработанные письма, поставив в конце их теста знак табуляции, который не отображается визуально. Таким образом червяк не отвечает на одно письмо дважды. Червяк не посылает письма, если в адресе содержатся строки .mil, .gov, admin, master, abuse. Короче, конспирация и предохранение.

А процедура заражения локальной сети тупа и плоска до неприличия: вирус сканирует все открытые сетевые ресурсы, ищет на них директорию Win***, копирует туда себя и добавляет соответствующую запись в win.ini или системный реестр.

Название: Prolin aka Creative.
Класс: интернет-червь.
Платформа: Win32.
Опасность: средняя.
Вирус-червь ползает с помощью электронной почты. Является 37-килобайтным EXE-файлом Windows, написан VisualBasic. Во многом напоминает вирус-червь Melissa: вызов функций и последовательность инструкций практически полностью совпадают. Передается по электронной почте в виде присоединенного к письмам EXE-файла с именем CREATIVE.EXE.

Червь также посылает письмо своему автору на адрес z14xym432@yahoo.com с информацией о зараженном компьютере:

Subject: Job complete
Message text: Got yet another idiot

Червь также создает свои копии на диске:
C:\creative.exe
C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe

Т.е. вторая копия расположена в каталоге автозапуска Windows, и будет активизироваться при каждом рестарте Windows. Обнаружить легко, однако, если у вас какое-нибудь устройство от фирмы Creative Labs (звуковая карта, видео…), то можно и не обратить внимания.

Червь имеет опасное проявление: ищет все файлы с расширениями .ZIP, .MP3 и .jpg и переносит их в корень диска C: с именем:
C:\%filename%change atleast now to LINUX

Червь также создает файл «c:\messageforu.txt», записывает туда текст и дописывает имена всех переименованных файлов:

“Hi, guess you have got the message. I have kept a list of files that I
have infected under this. If you are smart enough just reverse back the
process. i could have done far better damage, i could have even
completely wiped your harddisk. Remember this is a warning & get it sound
and clear… — The Penguin

%Имена файлов% “

Copyright © Россия-Он-Лайн (тм)

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты