|
Вирусы
Интернет-червь
Курникова преследует поклонников знаменитой теннисистки Лаборатория
Касперского , российский лидер в области разработки систем информационной
безопасности, сообщает обобнаружении в диком виде новой модификации
Интернет-червя Lee , более известной как Курникова . Червь
уже успелпоразить ряд компьютерных систем в США и Восточной Азии. Вместе с тем,
он не представляет никакой опасности для пользователей Антивируса
Касперского:благодаря интегрированной в программу уникальной технологии
эвристического анализа программного кода, эта вредоносная программа
обнаруживается безкаких-либо дополнительных обновлений антивирусной базы.
Методы распространения и работы данного червя практически идентичны
печально известному ILOVEYOU , вызвавшемуглобальную эпидемию в мае
прошлого года. Курникова создан при помощи генератора вирусов
[K]Alamar's Vbs Worms Creator ,позволяющему даже начинающим
пользователям выпускать свои собственные вирусы. Червь написан на языке
программирования Visual Basic Script (VBS), зашифрован ираспространяется по сети
Интернет при помощи сообщений электронной почты, содержащих вложенный файл
AnnaKournikova.jpg.vbs . После запуска файла
червь регистрирует себя в системном реестре Windows, получает доступ к адресной
книге почтовой программыMS Outlook и незаметно для пользователя рассылает свои
копии по всем найденным адресам электронной почты. Во избежание повторной
рассылки червь создаетдополнительный ключ в системном реестре:
Червь не содержит
каких-либо опасных побочных действий. Помимо массовой рассылки зараженных
файлов, перегружающейкорпоративные и персональные каналы передачи данных, 26
января Курникова запускает Интернет-броузер и открывает голландский
Webсайт: Подобно ILOVEYOU данный червь
использует уловку с двойным расширением файла-носителя
вируса: JPG.VBS . Присутствие ложного расширения JPG в
имени файла преследует цель дезориентировать пользователя, уверенного в том,
чтопрограммы такого типа не могут содержать вирусы. Однако при запуске файла он
передается на обработку процессору скрипт-программ Windows Scripting
Host,который и выполняет код червя. Курникова - далеко не
технологическое достижение в области создания вредоносных программ. Это самый
обычныйскрипт-вирус, использующий хорошо известные методы проникновения на
компьютеры. Единственная причина, благодаря которой он получил такое
распространение -использование имени Анны Курниковой, хорошо известной не только
великолепной игрой в теннис, но также и отчасти гипнотическим влиянием на
мужскую половинучеловечества. Последнее обстоятельство и предопределило
невозможность некоторых пользователей устоять перед соблазном посмотреть на
фотографию любимойспортсменки , - комментирует Денис Зенкин, руководитель
информационной службы Лаборатории Касперского . В целях недопущения проникновения червя Лаборатория
Касперского советует пользователям ни в коем случае незапускать файл
AnnaKournikova.jpg.vbs . Мы также рекомендуем системным
администраторам настроить фильтры входящей и исходящей почтовойкорреспонденции
таким образом, чтобы блокировать пересылку электронных сообщений, содержащих
такие файлы. 2) стереть
следующие ключи системного реестра Windows: Напомним, что данный Интернет-червь определяется Антивирусом
Касперского по умолчанию и не требует никакихдополнений антивирусной базы.
Вирус-
червь, заражающий системы под управлением Win32. Заражает приложения Win32,
устанавливает троянскую программу типа Backdoor , пытаетсярассылать
себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре
2000 года. Имеет достаточно необычную структуру и состоит из трех
практически независимых частей, которые выполняются независимо друг от друга.
Этими тремякомпонентами являются: вирус, заражающий EXE-файлы Win32; червь,
рассылающий электронные письма; троянец-backdoor. Две последние компоненты
хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и
запускает их на выполнение: ¦ Вирусные ¦ --> инсталлирует в
систему компоненты червя и backdoor, ¦ заражения
EXE ¦ ¦ Код червя ¦ -->
распаковывается и запускается как отдельная программа ¦ Backdoor-код ¦ -->
распаковывается и запускается как отдельная программа г=============== ¦===============¦
¦¦ и заражение ¦¦ ¦¦ Backdoor ¦¦ Следует отметить, что код червя
не содержит всех процедур необходимых, для заражения системы из письма
электронной почты. По этой причине червь распространяется вэлектронных письмах,
будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно
сложная технология - не вполне понятно. Software provide by [MATRiX] VX TeAm:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0,Anaktos Червь
содержит текст: All VX guy on #virus channel
and Vecna Ultras, Mort, Nbk, LOrd
DArk, Del_Armg0, Anaktos При заражении файлов вирус использует
технологию EntryPoint Obscuring (без точки входа), т.е. вирус
записывается не в стартовый адрес заражаемой программы, а в какое-либо иное
место. В данномслучае вирус записывается в конец файла и исправляет подходящую
инструкцию в середине файла: записывает в нее команду перехода на свой код. В
результатевирус получает управление не в момент запуска зараженного файла, а
тогда, когда получает управление соответствующий блок кода зараженной
программы. Код вируса в файлах зашифрован, и вирус сначала расшифровывает
себя и потом передает управление на свою основную процедуру. Перед тем,
как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе
антивирусные программы и прекращает свою работу, если любая изних
обнаружена: Central do McAfee
VirusScan Затем вирус инсталлирует компоненты червя и backdoor. Всего
создается три файла, они создаются в каталоге Windows и имеют атрибут
скрытый : WIN32.DLL - червь (копия предыдущего файла), зараженный
вирусом Затем вирус ищет и заражает
Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает
свою работу. Для рассылки зараженных сообщений червь
использует метод, впервые обнаруженный в Интернет-черве
.Червь записывает одну из своих
процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных
в Интернет (процедура send ). Врезультате червь в зараженной
библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные
отправляются в Интернет. Обычно при старте червя файл WSOCK32.DLL уже
используется каким-либо приложением Windows и заблокирован на запись, что делает
невозможнымнемедленное его заражение. Червь обходит это достаточно стандартным
методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в
файлWININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX
при следующей перезагрузке Windows,
например: После
перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяетданные и
команды, которые отсылаются в Интернет. Особое внимание червь уделяет
Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих
компаний, так же как посещение ихWeb-сайтов. Червь детектирует эти имена по 4-
символьным комбинациям: (NAI, AVP,
F-Secure, Panda, Sophos, и т.д.) complex.is* inexar.com*
newell.com* f-secure.c* Червь также
перехватывает отправляемый электронные письма и посылает сообщение-двойник со
своей копией, прикрепленной к письму (так же, как этоделает червь
Happy ). Имя вложенного файла выбирается из нескольких вариантов в
зависимости от дня месяца: NEW_playboy_Screen_saver.SCR
NEW_NAPSTER_site.TXT.pif
READER_DIGEST_LETTER.TXT.pif YOU_are_FAT!.TXT.pif
Protect_your_credit.HTML.pif
BLINK_182.MP3.pif В качестве файла-вложения используется WIN32.DLL,
созданный вирусной компонентойпри инсталляции в систему (WIN32.DLL является
кодом червя, зараженным вирусом). Следует отметить, что сам червь не
создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла.
Т.е. чистый код червяне в состоянии сомостоятельно распространяться
без помощи вирусной компоненты. Известные версии червя
содержат ошибку, в результате которой многие почтовые сервера не в состоянии
принять сообщение с кодом червя-вируса. Однако, еслииспользуется соединение
Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без
особых проблем.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Первый ключ
является идентификатором зараженности системы; второй ключ используется для
авто-запуска backdoor-компоненты при каждом рестарте Windows. При запуске
backdoor-компонента остается активной как скрытое приложение (сервис),
периодически обращается и какому-то Интернет-серверу и пытаетсяскачать оттуда
файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-
компонента в состоянии по желанию автора вируса заразитькомпьютер другими
вирусами или установить другие троянские программы. Эта компонента также
содержит ошибку, в результате которой при скачивании файлов Windows выдает
стандартное сообщение об ошибке в приложении и завершаетего
работу. Римейк оригинальной версии червя. При запуске
червь копирует себя в систему под именем c:\windows\sysrnj.exe и затем создает и
модифицирует множествоключей системного реестра для активизации этой
копии. этот ключ вызывает
запуск копии червя при ссылках на файл rnjfile , все последующие
изменяемые червем ключи как раз иперенаправляют управление на копию
червя: \.bmp = rnjfile \.wma =
rnjfile \.xls = rnjfile таким
образом, при запуске/открытии файлов .EXE, .JPG, .JPEG и т.д. вызывается копия
червя. Червь посылает свои копии в конференцию USENET
alt.comp.virus в файле, присоединенном к сообщениям: При рассылке своих копий по адресам электронной почты из адресной
книги Windows червь использует разные варианты заголовка письма.
Тема (Subject) сообщений червя может быть пустой, сгенеренной
случайным образом или выбранной из следующего списка:
,,...' В зависимости от некоторых условий червь создает на зараженной машине в
случайной последовательности дисковые каталоги с именами, взятыми наугад изпапки
\Recycled, и создает в них файлы со случайными же именами. Макро-вирусы
семейства заражают область глобальных макросов (шаблон NORMAL.DOT) при открытии
зараженного документа. Другие документы заражаются приих закрытии. Некоторые
варианты вируса заражают файлы также при их открытии. При заражении вирусы
семейства дописываются к уже существующим макросамдокумента (если таковые
присутствуют). Вирусы содержат строку текста, по которой определяют начало
своего кода. В различных версиях вируса эта строка различна: Вирусы семейства ведут
отчет о зараженных компьютерах: при заражении каждого нового
компьютера они дописывают к своему кодустроки-комментарии, в которые включены
дата/время заражения и адрес пользователя (как он хранится в
Windows). You are Heart Less. You Will Be Punished For This
Marker.c и некоторые другие варианты посылают свой
отчет о зараженных компьютерах на какой-то ftp-
сервер. Когда Word открывает документ, управление
получает процедура вируса. Эта процедура проверяет открываемый документ и
заражает его если он еще не заражен.Для этого она удаляет все макросы из
документа а затем копирует макрос вируса из области глобальных
макросов. Вирус выгружает из памяти все загруженные в Word шаблоны и
дополнения (add-ins) и затем удаляет все файлы из каталога автозагрузки Word.
Вирус такжеменяет информацию о пользователе Word: При первом заражении компьютера а также
первого числа каждого месяца вирус создает в каталоге Windows файл
Jon.html и устанавливает его какфон рабочего стола. Этот файл
содержит текст: To the very best that happen in mylife You
were gone since yester month But the memories, never would dissapear Yes it's true I can pretend. But the
paint of blue, keepbeat me till the end. Dear Iin, I close my eyes
and see your face. That's all I have to do to be with you. Long ago so faraway. But the light of blue, still living with me
today. Этот интернет-червь
написан на языке Java Script. Для своего распространения червь использует MS
Outlook Express. В отличие от большинства червей этогокласса он не прикрепляет к
заражаемому письму дополнительный файл-вложение, а встраивает свое тело в письмо
как скрипт. Червь работает на английской и французской версиях Windows.
Червь не работоспособен, если Windows установлена в каталог, отличный
от C:\WINDOWS . Червь полностью работоспособен только в системах
с установленным MS Outlook Express. В MS Outlook червь также активизируется и
заражает систему, нораспространяться дальше не может. Под другими почтовыми
системами работоспособность червя зависит от возможностей данной почтовой
системы. При заражении компьютера червь создает три файла. Первые два
используются для заражения системы, третий - для дальнейшего распространения
через сообщенияэлектронной почты: 3.
KAK.HTM файл в каталоге Windows Червь
приходит на компьютер в виде письма в HTML-формате. Тело письма содержит
программу-скрипт на языке JavaScript, которая и является кодом червя.В
результате при открытии или предварительном просмотре сообщения скрипт-программа
не видна, т.к. скрипты никогда не отображаются вHTML-документах (сообщениях,
страницах и т.п.), но получает управление - и червь активизируется. Создает свою копию в дисковом файле в каталоге автозагрузки Windows (все
программы из этого каталога автоматически запускаются при старте Windows).
Будучи запущенным из каталога автозагрузки червь
копирует себя в системный каталог Windows и прописывается в системном
реестре в секции авто-запуска. Затем удаляет свой первый экземпляр (копию)
из каталога автозагрузки Windows. В ключах
реестра MS Outlook Express создает новую подпись для писем. Эта подпись
ссылается на файл с кодом червя. С этого момента Outlook Express будет сам
вставлять код червя во все отсылаемые письма. Такая
пошаговая схема необходима червю потому, что на первом шаге (будучи
запущенным из сообщения) червь может получить доступ к диску, ноне к системному
реестру. На втором шаге, когда червь запущен из дискового файла, он удаляет свой
файл KAK.HTA из каталога автозагрузкиWindows чтобы скрыть свое
присутствие, т.к. все программы в каталоге автозагрузки видны в меню
Start\Programs\Startup
Menu(Старт\Программы\Автозагрузка). При активизации из зараженного
сообщения червь сначала получает доступ к локальному диску компьютера. Чтобы
обойти защиту (доступ к диску из скриптов поумолчанию запрещен) червь использует
брешь в защите, именуемую TypeLib Security Vulnerability - он
создает ActiveX-объект, который отмечен какбезопасный, но в то же время может
создавать файлы на диске. Используя этот объект червь и создает свои файлы на
локальном диске компьютера. Затем червь создает файл KAK.HTA и
помещает в него свой код. Этот файл будет исполнен при следующей загрузке
Windows, т.к. червь создает егов каталоге автозагрузки
Windows. HTA-файл (HTML Application) - тип файлов,
появляющийся после установки MS Internet Explorer 5.0. HTA-файлы содержат
обычный HTML-тексти скрипт-программы, но при запуске не вызывают оболочку
Internet Explorer, а выполняются как отдельные приложения. Это дает возможность
разрабатывать приложения,используя скрипт-программы. При создании файлов
червь не определяет истинного местоположения каталога Windows, а всегда
предполагает, что Windows установлена в каталоге C:\WINDOWS . Поэтому
червь не работает, если каталог Windows отличен от C:\WINDOWS . При
записи в каталог автозагрузки червь пробуетзаписать в два каталога
автозагрузки: STARTM~1\Programs\StartUp (имя по умолчанию для английской
версии Windows) Если каталог автозагрузки Windows имеет другое имя (в
другой локализации Windows), то червь не может записать свои файлы на диск и
поэтому не можетраспространяться далее. При следующей перезагрузке Windows файл
KAK.HTA в каталоге автозагрузки получает управление. Скрипт червя,
записанный в этом файле,создает такой же HTA-файл в системном каталоге Windows.
Этот файл имеет имя, зависящее от настроек системы (например
9A4ADF27.HTA ). Затем червьизменяет системный реестр так, чтобы
созданный HTA-файл запускался при каждой загрузке Windows. Задача этого файла -
заразить систему заново, еслипользователь поменял подпись по
умолчанию в Outlook Express (т.е. отправляемые письма перестают
заражаться). Затем скрипт в файле KAK.HTA создает HTML-файл
KAK.HTM , который содержит код червя (HTML-страница в этом файле
неимеет текста, только код червя). Этот файл затем вставляется в отправляемые
сообщения. И, наконец, червь добавляет в файл C:\AUTOEXEC.BAT
команды, при перезагрузке системы удаляющие файл KAK.HTA из
каталогаавтозагрузки - его роль теперь будет исполнять HTA-файл в системном
каталоге Windows (см.выше). Скрипт червя меняет секции системного реестра,
относящиеся к MS Outlook Express - меняется ключ подпись по
умолчанию . Червь записывает тудассылку на свой файл
KAK.HTM . В дальнейшем все письма, которые имеют формат HTML
(это стандартный формат MS Outlook Express), будут автоматически дополняться
подписью, содержащей кодчервя. Outlook Express каждый раз при создании новоего
сообщения автоматически добавляет в него содержимое файла KAK.HTM ,
т.е. скрипт-программучервя, а значит все отправляемые сообщения оказываются
зараженными. Периодическое
сканирование дисков антивирусными сканерами не обеспечивает защиту от этой
разновидности червей: каждый раз, когда открывается зараженноесообщение, вирус
снова заражает систему. Кроме того, если включен предварительный просмотр
сообщения, то достаточно просто выбрать зараженноесообщение в списке сообщений -
и вирус опять активизируется. 1. Для защиты можно использовать
антивирусные мониторы (on-access scanners). Антивирусные мониторы способны
поймать червя в момент его записи на диск ипредотвратить заражение системы, но в
то же время они неспособны предотвратить активизацию скрипта из HTML-письма,
т.к. HTML-скрипты выполняютсянепосредственно в системной памяти компьютера без
сохранения их на диск. Лучший способ - использовать совместно с
антивирусными мониторами утилиты, проверяющие скрипт-программы непосредственно
перед их выполнением (см. AVP Script Checker ). Эти программы
предотвращают активизацию вредоносного скрипта, а значит гаантируют, что скрипт
не сможет заразить или повредитьсистему. 2. Для записи своих файлов на
диск червь использует брешь в защите Internet Explorer 5.0. Компания Microsoft
выпустила дополнение, которое устраняет этубрешь ( Scriptlet.Typelib
security vulnerability). Мы рекомендуем Вам посетить
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP иустановить это
дополнение. 3. Если Вы не планируете использовать HTML-приложения (HTA-
файлы) в своей работе, есть еще один способ обезопасить себя от вирусов,
использующихHTA-файлы для своего распространения. Для этого надо удалить
ассоциацию к расширению HTA . Для этого нужно выполнить следующие
действия: Открыть окно My
Computer(Мой компьютер) дважды щелкнув на значке My Computer(Мой
компьютер) на рабочем столе. На закладке File Types(Типы файлов) в
списке Registered file types (Зарегистрированные типы файлов)
выбрать HTML Applicaton .
| |