Главная Криптография Обзоры и советы e-mail Вирусы Новости

Security Rail

В разделе Вирус-червь I-Worm.MTX Вирусы февраля!
Вирус-червь VBS.LoveLetter
Вирус-червь I-Worm.MTX
Вирус-червь I-Worm.Challenge
ЧАсто задаваемые ВОпросы по троянам
Не ложися на краю, или Как защитить себя в Интернете.
Компьютерный мир против вирусов нового поколения

 

Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре 2000 года.

Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor.

Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение:

Структура вируса

  
 г===============¬
 ¦ Вирусные      ¦ --> инсталлирует в систему компоненты червя и backdoor,
 ¦ процедуры     ¦     затем ищет и заражает Win32 EXE-файлы
 ¦ иснталляции и ¦
 ¦ заражения EXE ¦
 ¦---------------¦
 ¦ Код червя     ¦ --> распаковывается и запускается как отдельная программа
 ¦ (упакован)    ¦
 ¦---------------¦
 ¦ Backdoor-код  ¦ --> распаковывается и запускается как отдельная программа
 ¦ (упаковаан)   ¦
 L===============-

Зараженный EXE-файл

 г===============¬
 ¦ Код и данные  ¦
 ¦ файла         ¦
 ¦               ¦
 ¦===============¦
 ¦ Код вируса:   ¦
 ¦--------------¬¦
 ¦¦ Инсталляция ¦¦
 ¦¦ и заражение ¦¦
 ¦+-------------+¦
 ¦¦ Червь       ¦¦
 ¦+-------------+¦
 ¦¦ Backdoor    ¦¦
 ¦L--------------¦
 L===============-

Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология - не вполне понятно.

Вирусная компонента содержит строки текста:

SABI+.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us Visit us at:
http://www.coderz.net/matrix

Червь содержит текст:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Backdoor содержит текст:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and idea
s

Вирусная компонента

При заражении файлов вирус использует технологию "Entry Point Obscuring" (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление соответствующий блок кода зараженной программы.

Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру.

Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут "скрытый":

IE_PACK.EXE - "чистый код" компоненты-червя
WIN32.DLL - червь (копия предыдущего файла), зараженный вирусом
MTX_.EXE - backdoor-компонента

Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу.

Червь

Для рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве "Happy". Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура "send"). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет.

Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.

Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, и т.д.)

Червь также блокирует отсылку писем на домены:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь "Happy"). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом).

Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. "чистый код" червя не в состоянии сомостоятельно распространяться без "помощи" вирусной компоненты.

Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем.

Backdoor

Backdoor-компонента создает в системном реестре два ключа:

HKLM\Software\[MATRIX]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE

где %WinDir% является основным каталогом Windows.

Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows.

При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы.

Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.


Источник :
http://www.viruslist.com/

Десятка самых активных вирусов февраля от компанииSophos:

1.VBS/SST-A (aka "Anna Kournikova") - 38.2%

2.W32/Apology-B (aka I-Worm.MTX) - 11.7%

3.W32/Hybris-B (aka I-Worm.Hybris) - 7.8%

4.VBS/Kakworm (aka WScript.KakWorm) - 6.2%

5.W32/Navidad-B - 3.8%

6.W32/Flcss (aka Win32.FunLove) - 3.2%

7.VBS/LoveLet-AS - 2.8%

8.WM97/Marker-C - 2.6%

9.Troj/JetHome - 2.2%

10.W32/Verona-B (aka I-Worm.Blebla, Romeo&Juliet) - 1.6%

остальные вирусы - 19.9% зараженных компьютеров.


Источник: 
Sophos Inc
Апорт Top 1000
Webmaster
X