Лаборатория Касперского
Интернет-червь "Курникова" преследует поклонников знаменитой теннисистки Кроме тех, кто использует Антивирус Касперского
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает об обнаружении в "диком виде" новой модификации Интернет-червя "Lee", более известной как "Курникова". Червь уже успел поразить ряд компьютерных систем в США и Восточной Азии. Вместе с тем, он не представляет никакой опасности для пользователей Антивируса Касперского: благодаря интегрированной в программу уникальной технологии эвристического анализа программного кода, эта вредоносная программа обнаруживается без каких-либо дополнительных обновлений антивирусной базы.
Методы распространения и работы данного червя практически идентичны печально известному "ILOVEYOU", вызвавшему глобальную эпидемию в мае прошлого года. "Курникова" создан при помощи генератора вирусов "[K]Alamar's Vbs Worms Creator", позволяющему даже начинающим пользователям выпускать свои собственные вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространяется по сети Интернет при помощи сообщений электронной почты, содержащих вложенный файл "AnnaKournikova.jpg.vbs".
lee.bmp
После запуска файла червь регистрирует себя в системном реестре Windows, получает доступ к адресной книге почтовой программы MS Outlook и незаметно для пользователя рассылает свои копии по всем найденным адресам электронной почты. Во избежание повторной рассылки червь создает дополнительный ключ в системном реестре:
HKEY_CURRENT_USERSoftwareOnTheFlymailed
Червь не содержит каких-либо опасных побочных действий. Помимо массовой рассылки зараженных файлов, перегружающей корпоративные и персональные каналы передачи данных, 26 января "Курникова" запускает Интернет-броузер и открывает голландский Web сайт:
Dynabyte.bmp
Подобно "ILOVEYOU" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Однако при запуске файла он передается на обработку процессору скрипт-программ Windows Scripting Host, который и выполняет код червя.
"Курникова" - далеко не технологическое достижение в области создания вредоносных программ. Это самый обычный скрипт-вирус, использующий хорошо известные методы проникновения на компьютеры. Единственная причина, благодаря которой он получил такое распространение - использование имени Анны Курниковой, хорошо известной не только великолепной игрой в теннис, но также и отчасти гипнотическим влиянием на мужскую половину человечества. Последнее обстоятельство и предопределило невозможность некоторых пользователей устоять перед соблазном посмотреть на фотографию любимой спортсменки", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Предотвращение заражения
В целях недопущения проникновения червя "Лаборатория Касперского" советует пользователям ни в коем случае не запускать файл "AnnaKournikova.jpg.vbs". Мы также рекомендуем системным администраторам настроить фильтры входящей и исходящей почтовой корреспонденции таким образом, чтобы блокировать пересылку электронных сообщений, содержащих такие файлы.
Методы удаления
Для удаления из системы данного Интернет-червя необходимо выполнить следующие шаги:
1) удалить файл "AnnaKournikova.jpg.vbs" из системного каталога Windows; 2) стереть следующие ключи системного реестра Windows: HKEY_CURRENT_USERSoftwareOnTheFly HKEY_CURRENT_USERSoftwareOnTheFlymailed
Напомним, что данный Интернет-червь определяется "Антивирусом Касперского" по умолчанию и не требует никаких дополнений антивирусной базы.
Информационная служба "Лаборатории Касперского"
Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре 2000 года.
Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor.
Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение:
Структура вируса
г===============¬ ¦ Вирусные ¦ --> инсталлирует в систему компоненты червя и backdoor, ¦ процедуры ¦ затем ищет и заражает Win32 EXE-файлы ¦ иснталляции и ¦ ¦ заражения EXE ¦ ¦---------------¦ ¦ Код червя ¦ --> распаковывается и запускается как отдельная программа ¦ (упакован) ¦ ¦---------------¦ ¦ Backdoor-код ¦ --> распаковывается и запускается как отдельная программа ¦ (упаковаан) ¦ L===============-Зараженный EXE-файл
г===============¬ ¦ Код и данные ¦ ¦ файла ¦ ¦ ¦ ¦===============¦ ¦ Код вируса: ¦ ¦--------------¬¦ ¦¦ Инсталляция ¦¦ ¦¦ и заражение ¦¦ ¦+-------------+¦ ¦¦ Червь ¦¦ ¦+-------------+¦ ¦¦ Backdoor ¦¦ ¦L--------------¦ L===============-
Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология - не вполне понятно.
Вирусная компонента содержит строки текста:
SABI+.b ViRuS Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy in #virus and Vecna for help us Visit us at: http://www.coderz.net/matrix
Червь содержит текст:
Software provide by [MATRiX] VX team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy on #virus channel and Vecna Visit us: www.coderz.net/matrix
Backdoor содержит текст:
Software provide by [MATRiX] team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 source codes and ideas
Вирусная компонента
При заражении файлов вирус использует технологию "Entry Point Obscuring" (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление соответствующий блок кода зараженной программы.
Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру.
Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:
AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan
Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут "скрытый":
IE_PACK.EXE - "чистый код" компоненты-червя WIN32.DLL - червь (копия предыдущего файла), зараженный вирусом MTX_.EXE - backdoor-компонента
Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу.
Червь
Для рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве "Happy". Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура "send"). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет.
Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:
NUL=C:WINDOWSSYSTEMWSOCK32.DLL C:WINDOWSSYSTEMWSOCK32.DLL=D:WINDOWSSYSTEMWSOCK32.MTX
После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.
Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:
nii. nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman (NAI, AVP, F-Secure, Panda, Sophos, и т.д.)
Червь также блокирует отсылку писем на домены:
wildlist.o* il.esafe.c* perfectsup* complex.is* HiServ.com* hiserv.com* metro.ch* beyond.com* mcafee.com* pandasoftw* earthlink.* inexar.com* comkom.co.* meditrade.* mabex.com * cellco.com* symantec.c* successful* inforamp.n* newell.com* singnet.co* bmcd.com.a* bca.com.nz* trendmicro* sophos.com* maple.com.* netsales.n* f-secure.c*
Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь "Happy"). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:
README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif
В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом).
Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. "чистый код" червя не в состоянии сомостоятельно распространяться без "помощи" вирусной компоненты.
Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем.
Backdoor
Backdoor-компонента создает в системном реестре два ключа:
HKLMSoftware[MATRIX] HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup=%WinDir%MTX_.EXE
где %WinDir% является основным каталогом Windows.
Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows.
При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы.
Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.
Blebla.b
Римейк оригинальной версии червя. При запуске червь копирует себя в систему под именем c:windowssysrnj.exe и затем создает и модифицирует множество ключей системного реестра для активизации этой копии.
HKEY_CLASSES_ROOTrnjfile DefaultIcon = %1 shellopencommand = sysrnj.exe "%1" %*
этот ключ вызывает запуск копии червя при ссылках на файл "rnjfile", все последующие изменяемые червем ключи как р
HKEY_CLASSES_ROOT .exe = rnjfile .jpg = rnjfile .jpeg = rnjfile .jpe = rnjfile .bmp = rnjfile .gif = rnjfile .avi = rnjfile .mpg = rnjfile .mpeg = rnjfile .wmf = rnjfile .wma = rnjfile .wmv = rnjfile .mp3 = rnjfile .mp2 = rnjfile .vqf = rnjfile .doc = rnjfile .xls = rnjfile .zip = rnjfile .rar = rnjfile .lha = rnjfile .arj = rnjfile .reg = rnjfile
таким образом, при запуске/открытии файлов .EXE, .JPG, .JPEG и т.д. вызывается копия червя.
Эти ключи вызывают запуск червя при открытии любого из перечисленных выше файлов.
Червь посылает свои копии в конференцию USENET alt.comp.virus в файле, присоединенном к сообщениям:
From: "Romeo&Juliet" [romeo@juliet.v] Subject:[Romeo&Juliet] R.i.P.
При рассылке своих копий по адресам электронной почты из адресной книги Windows червь использует разные варианты заголовка письма. "Тема" (Subject) сообщений червя может быть пустой, сгенеренной случайным образом или выбранной из следующего списка:
Romeo&Juliet where is my juliet ? where is my romeo ? hi last wish ??? lol :) ,,...' !!! newborn merry christmas! surprise ! Caution: NEW VIRUS ! scandal ! ^_^ Re:
В зависимости от некоторых условий червь создает на зараженной машине в случайной последовательности дисковые каталоги с именами, взятыми наугад из папки Recycled, и создает в них файлы со случайными же именами.
Макро-вирусы семейства заражают область глобальных макросов (шаблон NORMAL.DOT) при открытии зараженного документа. Другие документы заражаются при их закрытии. Некоторые варианты вируса заражают файлы также при их открытии. При заражении вирусы семейства дописываются к уже существующим макросам документа (если таковые присутствуют).
Вирусы содержат строку текста, по которой определяют начало своего кода. В различных версиях вируса эта строка различна:
<- this is a marker! <- this is another marker!
Вирусы семейства ведут "отчет" о зараженных компьютерах: при заражении каждого нового компьютера они дописывают к своему коду строки-комментарии, в которые включены дата/время заражения и адрес пользователя (как он хранится в Windows).
Вирусы семейства проявляются различными способами. "Marker.a" в июле начиная с 23-го числа выводят сообщения:
Did You Wish Shankar on his Birthday ? Thank You! I Love You. You are wonderfull. You are Heart Less. You Will Be Punished For This
"Marker.c" и некоторые другие варианты посылают свой "отчет" о зараженных компьютерах на какой-то ftp-сервер.
Marker.ay
Когда Word открывает документ, управление получает процедура вируса. Эта процедура проверяет открываемый документ и заражает его если он еще не заражен. Для этого она удаляет все макросы из документа а затем копирует макрос вируса из области глобальных макросов.
Вирус выгружает из памяти все загруженные в Word шаблоны и дополнения (add-ins) и затем удаляет все файлы из каталога автозагрузки Word. Вирус также меняет информацию о пользователе Word:
Имя = "JonMMx 2000" инициалы = "MeMeX" Адрес = "JonMMx2000@yahoo.com"
При первом заражении компьютера а также первого числа каждого месяца вирус создает в каталоге Windows файл "Jon.html" и устанавливает его как фон рабочего стола. Этот файл содержит текст:
a Poet For My Dear Love Dear Iin To the very best that happen in mylife Long ago and in my mind, I can see your face lonely and lost in time You were gone since yester month But the memories, never would dissapear I think of you, I THINK OF YOU. Yes it's true I can pretend. But the paint of blue, keep beat me till the end. Yes it's hard to understand. Why you leaving me and all we dreaming on Dear Iin, I close my eyes and see your face. That's all I have to do to be with you. Dear Iin, altough I can not touch your face. I know what I can do to be with you Long ago so faraway. But the light of blue, still living with me today. You were gone since yester month. But the memories never would dissapear. Speed Hari
WScript.KakWorm
|
Этот интернет-червь написан на языке Java Script. Для своего распространения червь использует MS Outlook Express. В отличие от большинства червей этого класса он не прикрепляет к заражаемому письму дополнительный файл-вложение, а встраивает свое тело в письмо как скрипт.
Червь работает на английской и французской версиях Windows. Червь не работоспособен, если Windows установлена в каталог, отличный от "C:WINDOWS".
Червь полностью работоспособен только в системах с установленным MS Outlook Express. В MS Outlook червь также активизируется и заражает систему, но распространяться дальше не может. Под другими почтовыми системами работоспособность червя зависит от возможностей данной почтовой системы.
При заражении компьютера червь создает три файла. Первые два используются для заражения системы, третий - для дальнейшего распространения через сообщения электронной почты:
1. KAK.HTA в каталоге автозагрузки Windows 2. HTA-файл со случайным именем в системном каталоге Windows 3. KAK.HTM файл в каталоге Windows
1-го числа месяца после 17:00 червь выводит на экран сообщение:
Kagou-Anti-Kro$oft says not today !
после чего закрывает Windows.
Распространение
Червь приходит на компьютер в виде письма в HTML-формате. Тело письма содержит программу-скрипт на языке JavaScript, которая и является кодом червя. В результате при открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется.
Червь поражает систему в три этапа:
Создает свою копию в дисковом файле в каталоге автозагрузки Windows (все программы из этого каталога автоматически запускаются при старте Windows).
Будучи запущенным из каталога автозагрузки червь копирует себя в системный каталог Windows и прописывается в системном реестре в секции авто-запуска. Затем удаляет свой первый экземпляр (копию) из каталога автозагрузки Windows.
В ключах реестра MS Outlook Express создает новую подпись для писем. Эта подпись ссылается на файл с кодом червя. С этого момента Outlook Express будет сам вставлять код червя во все отсылаемые письма.
Такая "пошаговая" схема необходима червю потому, что на первом шаге (будучи запущенным из сообщения) червь может получить доступ к диску, но не к системному реестру. На втором шаге, когда червь запущен из дискового файла, он удаляет свой файл "KAK.HTA" из каталога автозагрузки Windows чтобы скрыть свое присутствие, т.к. все программы в каталоге автозагрузки видны в меню StartProgramsStartup Menu (СтартПрограммыАвтозагрузка).
Распространиение: этап 1 - червь активизируется из зараженного сообщения
При активизации из зараженного сообщения червь сначала получает доступ к локальному диску компьютера. Чтобы обойти защиту (доступ к диску из скриптов по умолчанию запрещен) червь использует брешь в защите, именуемую "TypeLib Security Vulnerability" - он создает ActiveX-объект, который отмечен как безопасный, но в то же время может создавать файлы на диске. Используя этот объект червь и создает свои файлы на локальном диске компьютера.
Затем червь создает файл "KAK.HTA" и помещает в него свой код. Этот файл будет исполнен при следующей загрузке Windows, т.к. червь создает его в каталоге автозагрузки Windows.
Комментарий:
HTA-файл (HTML Application) - тип файлов, появляющийся после установки MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения, используя скрипт-программы.
При создании файлов червь не определяет истинного местоположения каталога Windows, а всегда предполагает, что Windows установлена в каталоге "C:WINDOWS". Поэтому червь не работает, если каталог Windows отличен от "C:WINDOWS". При записи в каталог автозагрузки червь пробует записать в два каталога автозагрузки:
MENUDг~1PROGRA~1DгMARR~1 (имя по умолчанию для французской версии Windows) STARTM~1ProgramsStartUp (имя по умолчанию для английской версии Windows)
Если каталог автозагрузки Windows имеет другое имя (в другой локализации Windows), то червь не может записать свои файлы на диск и поэтому не может распространяться далее.
Распространиение: этап 2 - червь активизируется из файла KAK.HTA
При следующей перезагрузке Windows файл "KAK.HTA" в каталоге автозагрузки получает управление. Скрипт червя, записанный в этом файле, создает такой же HTA-файл в системном каталоге Windows. Этот файл имеет имя, зависящее от настроек системы (например "9A4ADF27.HTA"). Затем червь изменяет системный реестр так, чтобы созданный HTA-файл запускался при каждой загрузке Windows. Задача этого файла - заразить систему заново, если пользователь поменял "подпись по умолчанию" в Outlook Express (т.е. отправляемые письма перестают заражаться).
Затем скрипт в файле "KAK.HTA" создает HTML-файл "KAK.HTM", который содержит код червя (HTML-страница в этом файле не имеет текста, только код червя). Этот файл затем вставляется в отправляемые сообщения.
И, наконец, червь добавляет в файл "C:AUTOEXEC.BAT" команды, при перезагрузке системы удаляющие файл "KAK.HTA" из каталога автозагрузки - его роль теперь будет исполнять HTA-файл в системном каталоге Windows (см.выше).
Распространиение: этап 3 - рассылка зараженных писем
Скрипт червя меняет секции системного реестра, относящиеся к MS Outlook Express - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на свой файл "KAK.HTM".
В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании новоего сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит все отправляемые сообщения оказываются зараженными.
Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены).
Защита
Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту от этой разновидности червей: каждый раз, когда открывается зараженное сообщение, вирус снова заражает систему. Кроме того, если включен предварительный просмотр сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений - и вирус опять активизируется.
1. Для защиты можно использовать антивирусные мониторы (on-access scanners). Антивирусные мониторы способны поймать червя в момент его записи на диск и предотвратить заражение системы, но в то же время они неспособны предотвратить активизацию скрипта из HTML-письма, т.к. HTML-скрипты выполняются непосредственно в системной памяти компьютера без сохранения их на диск.
Лучший способ - использовать совместно с антивирусными мониторами утилиты, проверяющие скрипт-программы непосредственно перед их выполнением (см. "AVP Script Checker"). Эти программы предотвращают активизацию вредоносного скрипта, а значит гаантируют, что скрипт не сможет заразить или повредить систему.
2. Для записи своих файлов на диск червь использует брешь в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет эту брешь ("Scriptlet.Typelib" security vulnerability). Мы рекомендуем Вам посетить http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить это дополнение.
3. Если Вы не планируете использовать HTML-приложения (HTA-файлы) в своей работе, есть еще один способ обезопасить себя от вирусов, использующих HTA-файлы для своего распространения. Для этого надо удалить ассоциацию к расширению "HTA". Для этого нужно выполнить следующие действия:
Открыть окно "My Computer(Мой компьютер)" дважды щелкнув на значке "My Computer(Мой компьютер)" на рабочем столе.
В меню выбрать пункт "View(Вид)" -> "Options...(Параметры...)".
На закладке "File Types(Типы файлов)" в списке "Registered file types (Зарегистрированные типы файлов)" выбрать "HTML Applicaton".
Щелкнуть на кнопке "Remove(Удалить)" и подтвердить действие.
Закрыть диалоговое окно настроек.