Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
31.01.2003 - Martin LEPIŠ - Popisy vírusov
I-Worm.Serotonin  (... alias I-Worm.Serotin)

Medzi tvorcami škodlivých kódov sa v dnešnej dobe nájde skutočne málo takých, ktorí sú ochotní tráviť hodiny i týždne pred obrazovkami svojich počítačov len preto, aby mohli svetu prezentovať svoje programátorské majstrovstvo v podobe nových – technologicky jedinečných – počítačových vírusov, červov, či trójskych koní. Jedným z takýchto ľudí je aj český programátor vystupujúci pod prezývkou Benny/29A. Ten sa vďaka svojej značnej tvorivosti i zručnosti pri písaní "škodlivých kódov" dostal už neraz do pozornosti ako domácich, tak aj zahraničných médií. Niet sa čomu čudovať – veď prednedávnom dokončil svoj nový počítačový červ nazvaný I-Worm.Serotonin, ktorý využíva princípy genetického programovania, komunikácie prostredníctvom decentralizovaného WormNETu, dokáže infikovať spustiteľné súbory určené pre platformu Microsoft .NET i šíriť sa prostredníctvom špeciálne upravených emailových správ a deaktivovať niekoľko bezpečnostných i AV-systémov. Tou jedinou činnosťou, ktorú nedokáže vykonávať je akákoľvek deštruktívna činnosť... . Hneď v úvode tohto popisu treba tiež zdôrazniť, že sa jedná o skôr (!) ukážku reálnych možností (!) na strane škodlivých kódov, než o skutočnú hrozbu pre používateľov počítačov a siete Internet.

Vzhľadom na to, že nás tento počítačový červ od Bennyho/29A v značnej miere zaujal rozhodli sme sa i napriek jeho technickej zložitosti prezentovať Vám jeho dosť detailný popis (... ktorý v mnohých pasážach čerpá priamo z materiálu poskytnutého samotným autorom).

I-Worm.Serotonin (... alias I-Worm.Serotin alebo Win32/Notor) bol naprogramovaný tak ako väčšina dokonalejších škodlivých kódov v assembleri, pričom jeho vývoj trval približne jeden rok a kapacita prvej generácie jeho kódu nepresahuje 32 kB. Ako uviedol sám autor, tento červ predstavuje najkomplexnejšie dielo, aké počas svojej relatívne krátkej pôsobnosti na poli tvorcov škodlivých kódov vytvoril. Otázka teda znie, čo všetko jeho nový výtvor dokáže... .
Tou najdôležitejšou vlastnosťou tohto červa je istá schopnosť správať sa v reálnom svete podobne ako biologický organizmus (... s určitým stupňom dokonalosti). Táto možnosť je mu daná najmä vďaka tomu, že pri tvorbe jeho kódu boli použité poznatky a algoritmy vychádzajúce z princípov genetického programovania. Vo všeobecnosti je snahou moderného genetického programovania vytváranie takých aplikačných kódov, ktoré dokážu za istých podmienok simulovať proces samovoľnej evolúcie. Zo života iste každý dobre vie, že evolúcia prestavuje prirodzenú formu rekombinácie existujúcich organizmov, najčastejšie za účelom vzniku kvalitatívne nového organizmu. Pre nový organizmus je často charakteristická tzv. čiastočná mutácia, čo znamená, že môže nadobúdať vlastnosti, ktorými disponovali jeho predchodcovia (... buď všetky alebo len niektoré). V praxi takto môžu vznikať viac-menej nepredvídateľné kombinácie, ktoré v danom prostredí buď dokážu prežiť – prispôsobiť sa mu alebo vzhľadom na svoj nízky stupeň dokonalosti zaniknú. To bol jeden z hlavných dôvodov použitia genetického programovania pri tvorbe červa I-Worm.Serotonin. Buďme však konkrétnejší a transformujme vyššie uvedené informácie do podoby samotného červa.

Celý kód tvoriaci telo červa I-Worm.Serotonin je rozdelený na dve časti: hlavný a genotypový kód. Hlavný kód sa počas existencie a postupnej evolúcie červa nemení. Slúži pre vykonávanie jeho životne dôležitých funkcií, bez ktorých by ako taký nemohol existovať. Genotypový kód je naopak tá časť červa, ktorá sa dokáže meniť na základe istých algoritmov náhodného výberu. V praxi si genotypový kód možno predstaviť ako skupinu viacerých, vzájomne nezávislých génov, ktoré predstavujú určité procedúry slúžiace na vykonanie špecifických činností červa (napr.: vyhľadávanie emailových adries, generovanie emailových správ, infikovanie spustiteľných súborov, ... ). Prednosťou genotypového kódu je to, že pri každej ďalšej evolúcii červa bude pozostávať z inej kombinácie génov, ktorých počet sa náhodne mení. Červ pri každom evolučnom procese náhodne vyberie niektoré svoje gény, ktoré zahrnie do genotypového kódu svojej novej mutácie. To či bol daný výber génov správny vzhľadom na dané prostredie, nie je vopred známe. Ak sa nová mutácia červa s takýmto upraveným genotypovým kódom dokáže ďalej v prostredí šíriť – prežívať v ňom, bol náhodný výber správny. V opačnom prípade bol výber nevhodný a červ je odsúdený na zánik. To, aký počet evolučných procesov bude nutných na to, aby novo vytvorený červ disponoval vo svojom genotypovom kóde všetkými génmi potrebnými pre plnohodnotné prežitie v tom, ktorom prostredí sa dopredu určiť jednoznačne nedá. Vo veľkej miere to však závisí od toho, aký genotypový kód bude tvoriť základ pri jeho vzniku, poprípade aké genotypové kódy sa budú vzájomne kombinovať pri tomto procese.
Z vyššie uvedených informácií je azda zrejmé, že kód takéhoto červa je v plnom rozsahu modulárny a flexibilný. Všeobecne tiež platí, že dva vzájomne rôzne červy I-Worm.Serotonin, z ktorých každý disponuje iným zoskupením génov vo svojom genotypovom kóde si jednotlivé gény medzi sebou dokážu vymieňať alebo kombinovať, za účelom vytvorenia kvalitatívne nového červa. V praxi sa však môžeme stretnúť aj s tým, že okrem prijímania nových génov sa červ génov dokáže aj zbavovať – náhodným spôsobom bez toho, aby skúmal, či sú odstraňované gény potrebné pre jeho ďalšie prežitie – šírenie sa v danom prostredí. Ak pri tomto procese zo svojho genotypového kódu odstráni životne dôležitý gén môže sa stať, že po čase zanikne.

Ako už bolo spomínané v úvode, červ I-Worm.Serotonin je schopný vytvoriť akýsi WormNET, prostredníctvom ktorého si dokážu jednotlivé jeho vzájomne odlišné kópie vymieňať dôležité údaje (... v zašifrovanej podobe). Benny/29A pri myšlienke vytvoriť komunikačnú sieť pre svojho červa jasne zdôrazňuje to, že takáto sieť musí byť plne decentralizovaná, t.j. nesmie byť závislá od jedného bodu, ktorý v prípade poškodenia alebo zničenia spôsobí pád celej siete (... nech by bola akokoľvek rozsiahla). V praxi siete tohto typu nie sú ničím novým – reálnym príkladom je Gnutella P2P Network. Mnohých určite v tomto okamihu zaujíma, ako takáto sieť funguje vo vzťahu k činnosti červa I-Worm.Serotonin. Podľa toho, čo vieme nasledovne... .
Vychádzajme z predpokladu, že existuje počítač pripojený do počítačovej siete, na ktorom sa aktivuje červ I-Worm.Serotonin – pre lepšiu názornosť mu priradíme označenie A. Ten začne v okolitej sieti po určitom čase vyhľadávať iné počítače, na ktorých sa nachádza iná aktívna mutácia červa. Dajme tomu, že takýto počítač v sieti bude dostupný – existujúci červ v ňom označíme B. V takom prípade červ A dá vedieť o svojej existencii červovi B. Následne červ B dá o existencii červa A vedieť všetkým ďalším červom, s ktorými je v kontakte (... vždy platí, že jeden červ udržiava kontakt s viac ako jedným ďalším červom). Týmto spôsobom sa o existencii červa A dozvedia postupne napríklad červy C, D, E a F. Ďalej každý z červov C, D, E a F vykoná úplne identickú operáciu ako červ B a pošle všetkým svojim "druhom", s ktorými je v kontakte správu – červ A žije. Tento proces pokračuje takýmto spôsobom ďalej, až po určitom čase vie o existencii červa A celý WormNET. Veľkosť WormNETu môže byť z tohto pohľadu neobmedzená, i keď závislá od životnosti každého jej prvku – t.j. červa v tom, ktorom počítači.
Spomínanú komunikáciu červ I-Worm.Serotonin vykonáva v každom infikovanom systéme cez TCP port 194, prostredníctvom ktorého nielen "načúva" požiadavkám od svojich "druhov", ale aj posiela i prijíma požadované dáta, vrátane existujúcich i nových génov.

Ďalšou činnosťou, červa I-Worm.Serotonin je schopnosť infikovať všetky spustiteľné súbory (tzv. MSIL-PE-EXE) určené pre platformu Microsoft .NET dostupné na pevnom disku C:\ a zároveň pozastavovať v rámci OS MS Windows XP systémovú ochranu dôležitých súborov – označovanú ako System File Protection. To, ako tieto činnosti červ vykonáva v praxi popisovať nebudeme, nakoľko sa jedná o technicky zložitý proces, ktorý sa bez znalosti istého pojmového aparátu na strane čitateľa nedá dostatočne jednoducho a jednoznačne objasniť.

Všetky vyššie uvedené činnosti (... nezávisle jedna od druhej), predstavujú gény červa, ktoré môže i nemusí obsahovať vo svojom genotypovom kóde jeho ďalšia generácia vytvorená postupnou evolúciou. Medzi ďalšie tri gény, ktorými červ môže i nemusí disponovať patria procedúry orientované na získavanie emailových adries z aplikácií MS Outlook i MS Outlook Express a zo súborov HTML i súborov tvoriacich tzv. cache pamäť aplikácie MS Internet Explorer.
Proces rozširovania sa červa prostredníctvom emailových správ predstavuje opäť ďalší z dostupných génov, v rámci jeho genotypového kódu. Pri ňom sa využíva dosť málo známa chýba aplikácie MS Outlook Express, ktorá umožňuje vkladať HTML tagy typu "script" aj do emailovej správy formátovanej ako obyčajný text. Vďaka tejto chybe sa už pri samotnom náhľade na takto vytvorenú emailovú správu aktivuje kód uložený v uvedených HTML tagoch. Ten následne dekóduje skryté telo červa, uloží ho na disk a upraví systémové registre tak, aby došlo k jeho aktivácii po reštarte počítača. Pri novom štarte OS sa červ aktivuje a skontroluje, či sa v danom počítači nachádza jeho aktívna kópia. V prípade zápornej odpovede, sa snaží v operačnej pamäti identifikovať aplikáciu EXPLORER.EXE a uložiť do jej pamäťového priestoru svoje vlastné telo (... predtým ho však o čosi zväčší). Následne červ odstráni z pevného disku aj systémových registrov po sebe všetky dostupné stopy a zostáva aktívny iba v operačnej pamäti.
Na tomto mieste sa určite oplatí spomenúť, že počas procesu generovania nových emailových správ určených pre odoslanie na emailové adresy získané zo všetkých vyššie uvedených zdrojov červ vytvára dočasne na disku infikovaného počítača súbor nazvaný WIN32SER.EXE (... konkrétne v systémovom adresári OS MS Windows). Ten obsahuje telo samotného červa, v rámci ktorého sa dá nájsť aj textový reťazec: I-Worm.Serotonin by Benny/29A. Po ukončení procesu hromadného rozposielania emailových správ červ vytvorený súbor automaticky odstráni. Pre všetky červom vygenerované emailové správy je príznačná adresa ich odosielateľa: support@microsoft.com a tiež to, že sú rozposielané prostredníctvom SMTP servera: smtp.iol.cz.

Hitom posledných mesiacov pri tvorbe moderných a všestranne orientovaných škodlivých kódov sa stalo dopĺňanie ich bežných funkcií o schopnosť vyhľadávať a následne deaktivovať bezpečnostné i AV-systémy dostupné v infikovanom systéme. I-Worm.Serotonin nie je v tomto ohľade žiadnou výnimkou. Počas svojej aktivity v operačnej pamäti infikovaného systému vyhľadáva a ukončuje viac ako tucet takýchto aplikácií. Túto schopnosť červa opäť možno označiť ako jeden z jeho dostupných génov.

Čo teda dodať na záver? Snáď len toľko, že I-Worm.Serotonin predstavuje (!) výlučne ukážku (!) programátorských možností, kombinujúcich staré i nové technológie do jedného široko modulárneho, flexibilného a najmä funkčného celku. Do budúcna sa určite mnohé z dnešných poznatkov z oblasti genetického programovania stanú základným stavebným kameňom pri tvorbe moderných a vnútorne inteligentných škodlivých kódov, ktoré sa možno budú vedieť správať s určitým stupňom dokonalosti rovnako, ako ktorýkoľvek existujúci živočích snažiaci sa o prežitie v nemilosrdnej a neustále sa meniacej "divočine". Nemožno predsa zabúdať na to, že ľudskej fantázii a tvorivosti sa hranice nekladú... .
V čase uverejnenia tohto popisu dokázali tento červ identifikovať podľa dostupných informácií iba AV-systémy spoločností Computer Associates, ESET, Kaspersky Labs. a Symantec. Postupom času sa jeho vzorky určite objavia aj v databázach vírusových reťazcov iných AV-systémov.

Vytlačiť článok... Zdroj: Benny/29A


Súvisiace články:
01.09.2001  I-Worm/WM2k.NeXT - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.