Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
01.11.2003 - Martin LEPIŠ - Popisy vírusov
Win32/Mimail.C - .H  (... doplnené dňa 4.11.2003)

Prvý variant počítačového červa Win32/Mimail sa na Internete objavil začiatkom augusta, pričom po počiatočnej masívnejšej epidémii sa mu až dodnes darí udržiavať si pevné postavenie v zozname TOP10 škodlivých kódov. Nový – tretí variant tohto červa nazvaný Win32/Mimail.C identifikovali v sieti Internet AV-spoločnosti koncom týždňa, pričom automaticky upozornili na možné riziko jeho výraznejšieho rozšírenia. Tak ako prvý aj tento variant červa sa šíri medzi používateľmi prostredníctvom ľahko rozpoznateľných emailových správ s priloženým ZIP archívom, ktorý v sebe skrýva spustiteľný – infikovaný súbor. Našťastie k jeho aktivácii môže dôjsť len na priamy podnet zo strany používateľa.

Počítačový červ Win32/Mimail.C (... alias I-Worm.WatchNet) bol naprogramovaný v programovacom jazyku C++ a jeho výsledný kód bol za účelom minimalizácie interne komprimovaný pomocou nástroja UPX (... ten patrí medzi tvorcami škodlivých kódov k jednému z najobľúbenejších a najpoužívanejších). Na rozdiel od prvého variantu tento červ pri svojom šírení sa prostredníctvom emailových správ, resp. ich súborových príloh nezneužíva žiadne bezpečnostné diery aplikácie MS Internet Explorer. To teda znamená, že nie je schopný svojej samoaktivácie, čo značne obmedzuje možnosti jeho rýchleho a masívneho rozširovania.
Emailovú správu, ktorou sa červ Win32/Mimail.C šíri medzi používateľmi je možné identifikovať podľa toho, že ako jej odosielateľ je vždy uvedený "james@[názov lokálnej domény prijímateľa emailu]", jej predmet obsahuje textový reťazec: "Re[2]: our private photos [náhodný reťazec znakov]" a telo správy tvorí nasledujúci text: "Hello Dear! Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James [náhodný reťazec znakov prevzatý z predmetu správy]". Textové informácie v takto vytvorenej emailovej správe môžu u neskúseného používateľa vyvolať dojem, že v prílohe by sa mali, či skôr mohli nachádzať v celku zaujímavé fotografie. Žiaľ, opak je pravdou! Nie fotografie, ale jeden ZIP archív nazvaný PHOTOS.ZIP (... s veľkosťou 12 832 bajtov) je prílohou emailovej správy. Ten v sebe skrýva spustiteľný – infikovaný súbor PHOTOS.JPG.EXE, ktorý na niektorých systémoch s nevhodne nastaveným zobrazovaním súborových prípon nemusí mať viditeľnú druhú – tú najdôležitejšiu príponu. Používateľovi sa preto tento súbor môže síce javiť ako obrázok, no v skutočnosti bude systémom interpretovaný ako spustiteľný súbor. V prípade, že si používateľ dá tú námahu a priložený ZIP archív rozbalí a následne aktivuje v ňom obsiahnutý súbor PHOTOS.JPG.EXE mal by počítať s tým, že namiesto sľubovaných fotografií neuvidí nič – azda časom len to, že jeho počítač je infikovaný červom Win32/Mimail.C.

Po spustení súboru PHOTOS.JPG.EXE sa aktivuje červ, ktorý v hlavnom adresári OS MS Windows vytvorí kópiu svojho tela, v rámci súboru nazvaného NETWATCH.EXE. Do systémových registrov doplní hodnotu, vďaka ktorej bude dochádzať k jeho aktivácii pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
… NetWatch32 = [hlavný adresár OS MS Windows]\netwatch.exe


Zároveň v identickom adresári vznikajú aj ďalšie dva súbory: EXE.TMP a ZIP.TMP. Prvý z nich obsahuje kópiu tela červa v jeho spustiteľnej podobe, zatiaľ čo druhý súbor obsahuje jeho telo v podobe komprimovanej. Ďalšia činnosť červa je závislá od toho, či sa mu podarí z infikovaného počítača spojiť prostredníctvom počítačovej siete z adresou www.google.com. Ak áno, má potvrdené, že daný počítač je pripojený k Internetu a má teda zmysel začať vyhľadávať nové emailové adresy svojich obetí, generovať emailové správy a hromadne ich rozposielať. Emailové adresy červ hľadá v súboroch nachádzajúcich sa v adresári C:\Program Files a vo všetkých adresároch, na ktoré sa odkazuje v systémových registroch nasledujúci kľúč:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Pri tomto procese sú automaticky vynechávané binárne súbory s príponami: .BMP, .JPG, .GIF, .AVI, .MPG, .MP3, .EXE, .DLL a niektoré ďalšie. Všetky získané emailové adresy si červ priebežne ukladá do súboru EML.TMP, v rámci hlavného adresára OS MS Windows. Nakoniec na tieto adresy rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami) pomocou vlastnej SMTP rutiny.

Podľa informácií zverejnených niektorými AV-spoločnosťami sa červ Win32/Mimail.C pokúša vykonávať okrem už spomenutých operácií aj tzv. DoS (Denial of Service) útok proti web serverom: darkprofits.com, darkprofits.net, www.darkprofits.com, www.darkprofits.net a získava pri práci používateľa s vybranými aplikáciami dáta (... dôležitého charakteru), ktoré následne odosiela na niektorú z týchto emailových adries: omnibbb@gmx.net, omnibcd@gmx.net, drbz@maill5.com a kxva@maill5.com. Zoznam odosielaných dát by mal byť uložený v koreňovom adresári pevného disku C: v súbore TMPE.TMP.

Dodatok zo dňa 4.11.2003
Zo všeobecného pohľadu by sa dalo povedať, že počítačový červ Win32/Mimail nie je ničím zaujímavý a patrí skôr do skupiny obyčajných – tuctových škodlivých kódov, akých sú na svete stovky až tisíce. Keďže sa rozšíril za posledné dva až tri dni (... najmä v zahraničí) výraznejšie než sa očakávalo existuje isté riziko/možnosť jeho výskytu aj na Slovensku a v susedných Čechách. No a to je dôvod, prečo dodatočne prinášame popisy niektorých ďalších variantov tohto červa. Avšak pozor, nasledujúce popisy obsahujú len rozdiely, ktoré sa vyskytujú medzi nimi a červom Win32/Mimail.C.

Win32/Mimail.D
... šíri sa prostredníctvom emailových správ, ktoré je možné identifikovať podľa textových informácií obsiahnutých v ich predmete "your account [náhodný reťazec znakov]" a obsahu "Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. Best regards, Administrator [náhodný reťazec znakov prevzatý z predmetu správy]". Súčasťou každej takejto správy je priložený súbor nazvaný MESSAGE.ZIP. Ten v sebe skrýva špeciálne upravený súbor MESSAGE.HTML, ktorý v prípade zobrazenia v nezabezpečenom prehliadači MS Internet Explorer vyexportuje na pevný disk počítača spustiteľný súbor EPO.EXE a zabezpečí jeho aktiváciu. Ďalej už nasleduje len vytvorenie kópie tela červa do hlavného adresára OS MS Windows pod názvom súboru VIDEODRV.EXE (... s veľkosťou 24 608 bajtov) a doplnenie nasledujúcej hodnoty do jedného z dôležitých kľúčov v rámci systémových registrov:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... VideoDriver = [hlavný adresár OS MS Windows]\videodrv.exe


Win32/Mimail.E - .H
... pre všetky štyri varianty tohto červa je charakteristické to, že sa šíria prostredníctvom emailových správ, ktorých odosielateľom je vždy "john@[názov lokálnej domény prijímateľa emailu]". Rovnako ako všetky predchádzajúce varianty aj tieto sa dajú identifikovať veľmi jednoducho na základe textových informácií uvedených v ich predmete "don't be late! [náhodný reťazec znakov]" a obsahu "Will meet tonight as we agreed, because on Wednesday I don't think I'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you. [náhodný reťazec znakov prevzatý z predmetu správy]". Súčasťou každej takejto správy je priložený súbor nazvaný READNOW.ZIP, ktorý v sebe skrýva červ vo forme spustiteľného súboru READNOW.DOC.SCR. V prípade jeho manuálnej aktivácie zo strany používateľa vzniká kópia tela červa v hlavnom adresári OS MS Windows a do systémových registrov sa dopĺňa nová hodnota – a to nasledovne, v závislosti od toho-ktorého variantu:

Varianty .E & .F

CNFRM.EXE (10 784 bajtov, interne komprimovaný nástrojom UPX)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... Cnfrm32 = [hlavný adresár OS MS Windows]\cnfrm.exe


Variant .G

SYSLOAD32.EXE (10 784 bajtov, interne komprimovaný nástrojom UPX)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... SystemLoad32 = [hlavný adresár OS MS Windows]\sysload32.exe


Variant .H

CNFRM33.EXE (10 784 bajtov, interne komprimovaný nástrojom UPX)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... Cn323 = [hlavný adresár OS MS Windows]\cnfrm33.exe


Všetky vyššie menované varianty červa Win32/Mimail sa počas svojej činnosti v infikovanom systéme pokúšajú vykonávať DoS útoky na vybrané web serveri (... ako sú napríklad: spews.org / spamhaus.org / spamcop.net / ... / fethard.biz / fethard-finance.com / www.fethard.biz / ... / mysupersales.com / www.mysupersales.com). Podľa zistených informácií vytvoria 15 paralelných komunikačných kanálov s daným web serverom a zasielajú naň náhodne vygenerované dáta o veľkosti 2 048 bajtov vo forme ICMP paketu a tiež priamo na port 80. Následne červ počká 5 sekúnd, ukončí každé vytvorené komunikačné vlákno a celý proces začne opakovať odznova. Poslednou odlišnosťou variantov .E - .H od najrozšírenejšieho variantu Win32/Mimail.C je to, že vo svojom kóde neobsahujú rutinu umožňujúcu zaznamenávať dôležité dáta, pri práci používateľa s vybranými aplikáciami a zasielať na ich na predurčené emailové adresy.

Na záver odporúčame používateľom počítačov, no hlavne počítačovej siete Internet, aby vykonali aktualizáciu používaného AV-systému (... stačí len na úrovni jeho databázy vírusových reťazcov) a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych – nedôveryhodných odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa podarilo aktivovať červ Win32/Mimail.A - .H vo svojom systéme ponúkame niekoľko priebežne aktualizovaných jednoúčelových AV-programov určených pre jeho rýchlu a efektívnu elimináciu – všetky sú dostupné v sekcii nazvanej Jednoúčelové AV.



Súvisiace články:
27.01.2004  Win32/Mimail.Q & .S - Popisy vírusov
18.11.2003  Win32/Mimail.I - .J - Popisy vírusov
04.08.2003  Win32/Mimail.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.