Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
25.02.2003 - Martin LEPIŠ - Popisy vírusov
Win32/LovGate.A - .D  (... alias I-Worm.Supnot)

Počas včerajšieho popoludnia priniesla väčšina domácich i zahraničných AV-spoločností detailné informácie o nových variantoch masovo sa šíriaceho počítačového červa, nazvaného Win32/LovGate. Vo všeobecnosti sa jedná o škodlivý kód, ktorý sa dokáže šíriť vo forme priložených súborov obsiahnutých v rámci emailových správ i prostredníctvom sieťovo zdieľaných adresárov a diskov. Navyše počas svojej činnosti jeho dva novšie varianty integrujú do infikovaného systému aj jednoduchý systém pre zachytávanie používateľom stlačených kláves (tzv. keylogger) a taktiež ľahko na diaľku ovládateľné a prípadným útočníkom zneužiteľné zadné vrátka (tzv. backdoor).

Vzhľadom na to, že v čase písania tohto článku boli dostupné detailné informácie o všetkých štyroch variantoch škodlivého kódu Win32/LovGate rozhodli sme sa priniesť Vám stručnú charakteristiku každého z nich, vrátane popisu ako sa tohto červa zbaviť v prípade, že infikuje Vás systém.

Win32/LovGate.A (... alias I-Worm.Supnot.A)
... predstavuje klasický, po funkčnej stránke dosť jednoduchý počítačový červ, ktorý sa dokáže šíriť nielen prostredníctvom priložených súborov obsiahnutých v rámci emailových správ, ale aj nedostatočne zabezpečených sieťových zdrojov v rámci lokálnej počítačovej siete. Emailové adresy, na ktoré tento červ po svojej aktivácii rozposiela kópie vlastného tela vyhľadáva v INBOXe emailového klienta MS Outlook/Outlook Express a tiež v súboroch s príponou . HT* (... kde symbol * môže byť nahradený ľubovoľným písmenom). Jeho ďalšia činnosť v systéme je identická ako pri ostatných – nižšie popisovaných variantoch.

Win32/LovGate.B (... alias I-Worm.Supnot.B)
... jedná sa o výrazne dokonalejší variant pôvodného červa, ktorý sa taktiež dokáže šíriť prostredníctvom priložených súborov obsiahnutých v rámci emailových správ i nedostatočne zabezpečených sieťových zdrojov, pričom navyše v sebe obsahuje aj integrovaný v úvode spomínaný keylogger a backdoor. Práve posledný zo spomínaných komponentov je azda najnebezpečnejšou časťou celého červa, nakoľko počas svojej aktivity načúva na TCP porte 10168 príkazom, ktoré mu môže zo vzdialeného počítača sieťou zasielať prípadný útočník. Ten takýmto spôsobom veľmi ľahko dokáže manipulovať s dátami uloženými na infikovanom systéme, vykonať ich nežiadanú modifikáciu i poškodenie/odstránenie. Zároveň získava vďaka prítomnosti keyloggera i backdooru v infikovanom systéme niektoré dôležité informácie a heslá, ktoré bez vedomia používateľa červ odosiela na adresy: hello_dll@163.com a hacker117@163.com. Za účelom odosielania týchto emailových správ červ využíva vlastnú SMTP rutinu komunikujúcu so vzdialeným emailovým serverom (... ktorého adresa je SMTP.163.COM) umiestneným podľa dostupných informácií v Číne.

Ako už bolo spomenuté vyššie telo samotného červa sa do systému dostáva najčastejšie a najrýchlejšie prostredníctvom súborov obsiahnutých v emailových správach. Pre takéto emailové správy sú príznačné informácie dostupné v rámci ich predmetu: "Documents / Pr0n! / Evaluation copy / Help / ... / Beta / Cracks!" i obsahu: "Send me your comments... / Adult content!!! Use with parental advisory. / Test it 30 days for free. / I'm going crazy... please try to find the bug! / … / Send reply if you want to be official beta tester. / Check our list and mail your requests!". Súčasťou každej emailovej správy je aj priložený – spustiteľný – súbor, ktorý môže obsahovať niektorý z nasledujúcich názov: "DOCS.EXE / SEX.EXE SETUP.EXE / SOURCE.EXE / PATCH.EXE / ... / PACK.EXE / LUPDATE.EXE". Približná kapacita súboru sa pohybuje okolo 79 kB, pričom pre zmenšenie jeho pôvodnej veľkosti autor použil nástroj AsPack (... mimochodom červ je naprogramovaný v programovacom jazyku MS Visual C++).
V prípade manuálnej aktivácie priloženého súboru červ vyextrahuje zo svojho tela súbory: ILY.DLL, TASK.DLL a REG.DLL do systémového adresára OS MS Windows a súčasne vytvorí v hlavnom adresári OS MS Windows kópie svojho vlastného tela do týchto súborov: WINRPC.EXE, SYSHELP.EXE, WINRPCSERV.EXE, WINGATE.EXE a RPCSRV.EXE. Po ukončení tejto operácie dochádza k nevyhnutnej modifikácii systémových registrov, prostredníctvom ktorej si červ zabezpečí aktiváciu svojho tela pri každom ďalšom štarte OS. Zároveň tiež červ mení pôvodný obsah kľúča "HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command" na tvar "@ = %winsysdir%\winprc.exe "%1"", vďaka čomu bude volané jeho telo pri každom pokuse používateľa o otvorenie/modifikáciu bežných textových súborov pomocou aplikácie Notepad. Okrem týchto zmien sa červ ešte snaží o doplnenie obsahu súboru WIN.INI umiestneného v hlavnom adresári OS MS Windows o nasledujúci reťazec: "Run=rpcsrv.exe" (... opäť sa jedná o istú poistku, ktorá mu má zaistiť aktiváciu jeho tela pri každom štarte systému v prípade, že by aktivácia za pomoci systémových registrov zlyhala).
V tomto okamihu sa žiaľ proces modifikácie systému a jeho dopĺňanie o nové červom vygenerované súbory ešte nekončí. Integrovaný keylogger, ktorého úlohou je získavať z infikovaného systému zoznam všetkých používateľom stlačených kláves využíva pri svojej činnosti vyššie spomínané tri súbory s príponou .DLL. Priebežne získané informácie o stlačených klávesoch si červ ukladá do novovytvorených súborov nazvaných WIN32PWD.SYS a WIN32ADD.SYS, pričom ich obsah raz za čas odosiela svojmu tvorcovi (... ako inak, než prostredníctvom emailových správ).

Proces rozširovania sa červa je aj pri tomto variante závislý na možnosti rozposielania automaticky generovaných emailových správ, ktoré tvoria akési odpovede na všetky emaily obsiahnuté v INBOXe emailovej klient aplikácie MS Outlook/Outlook Express a emaily nájdené v súboroch s príponou .HT*. V tele takto vytvorených správ doplnených následne o telo samotného červa sa nachádza nasledujúci text: "I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion!".
Poslednou výraznejšou aktivitou, ktorú tento škodlivý kód vykonáva je šírenie sa prostredníctvom nedostatočne zabezpečených sieťových zdrojov. Na prienik do sieťovo zdieľaných adresárov i diskov červ využíva prednastavený zoznam hesiel, pričom sa ho pokúša postupne aplikovať najprv na konte používateľa s menom Guest a potom aj na konte Administrator. Ak sa mu podarí preniknúť na zdieľaný zdroj umiestni naň svoje telo vo forme spustiteľného súboru, ktorého názov vyberá náhodne z tejto množiny: "FUN.EXE / HUMOR.EXE DOCS.EXE /SETUP.EXE / SEARCHURL.EXE / JOKES.EXE / ... / PICS.EXE". Výrazne horšou alternatívou v prípade prieniku na sieťový zdroj je situácia, ak je takýmto spôsobom sprístupnený nie adresár ale priamo celý pevný disk. V takom prípade červ nakopíruje svoju kópiu okamžite do systémového adresára OS MS Windows pod názvom súboru STG.EXE a zabezpečí jeho aktiváciu pri ďalšom štarte počítača. Tým sa celý vyššie spomínaný kolobeh začína odznova... .

Win32/LovGate.C (... alias I-Worm.Supnot.C)
... tento variant je veľmi podobný predchádzajúcemu variantu Win32/LovGate.B, pričom jeho hlavné odlišnosti spočívajú v tom, že obsahuje opravené niektoré funkčné chyby a nemá v rámci svojho tela obsiahnuté súbory tvoriace spomínaný keylogger. Pokiaľ ide spôsob jeho integrácie do systému i šírenia sa, tak ten zostáva zachovaný, rovnako ako charakteristické prvky prijímaných i červom generovaných emailových správ. Samozrejmosťou je aj naďalej integrovaný a na diaľku ovládateľný backdoor. Apropo, v čase písania tohto článku bol vo svete najrozšírenejší práve tento variant červa Win32/LovGate.

Win32/LovGate.D (... alias I-Worm.Supnot.D)
… posledný nami spomínaný variant je omnoho primitívnejší ako všetky predchádzajúce, pričom pre proces šírenia sa využíva vstavanú SMTP rutinu a vstupné emailové adresy, na ktoré sa prostredníctvom nej rozposiela vyhľadáva iba v súboroch s príponami . HT*. Základná časť jeho primárnych funkcií sa žiaľ nijako výraznejšie nezmenila.

Na záver ešte spomeňme, že elimináciu existujúcich variantov počítačového červa Win32/LovGate.A - .D toho času zvládajú na úrovni súborov aj systémových registrov všetky kvalitnejšie AV-systémy, ktorých databáza vírusových reťazcov bola automaticky alebo manuálne aktualizovaná v priebehu včerajšieho poobedia/večera (t.j. dňa 24.2.2003). V prípade záujmu môžu šikovnejší používatelia spomínaného červa eliminovať zo svojich infikovaných systémov aj svojpomocne, pričom je nutné aby vykonali nasledujúce tri operácie:

1. odstránili všetky súbory, ktoré aktualizovaný AV-systém označí za infikované;
2. nahradili v súbore WIN.INI riadok "Run=rpcsrv.exe" zápisom "Run=";
3. v systémových registroch v kľúči "HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command" zmenili hodnotu "@ = %winsysdir%\winprc.exe "%1"" na "C:\WINDOWS\NOTEPAD.EXE %1" (... za predpokladu, že majú OS MS Windows nainštalovaný na disku C:, v adresári nazvanom WINDOWS – v opačnom prípade je nutné tieto dve položky náležite modifikovať).

Pre automatickú elimináciu tohto červa z infikovaného systému odporúčame používateľom využiť možnosti AV-programov Win32_LovGate.EXE alebo Win32_LovGate.ZIP, ktoré sme predčasom sprístupnili na našom FTP serveri, t.j. v sekcii nazvanej Jednoúčelové AV.

Vytlačiť článok... Zdroj: F-Secure.com


Súvisiace články:
25.06.2004  Win32/Korgo.Gen - Popisy vírusov
12.06.2004  Win32/Zafi.B - Popisy vírusov
19.05.2004  Win32/Bobax.A - .C & Win32/Kibuv.A - .B - Popisy vírusov
12.05.2004  Win32/Sasser.E & .F - Popisy vírusov
01.05.2004  Win32/Sasser.A - .D - Popisy vírusov
28.04.2004  Win32/Bagle.Z - Popisy vírusov
21.04.2004  Win32/Netsky.X - .Z - Popisy vírusov
30.03.2004  Win32/Netsky.Q, .T, .U - Popisy vírusov
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
24.03.2004  Win32/Netsky.P - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.