Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
19.12.2003 - Martin LEPIŠ - Popisy vírusov
Win32/Sober.B - .C  (... doplnené dňa 22.12.2003)

Počas včerajšieho doobedia priniesli AV-spoločnosti informácie o novoobjavenom variante počítačového červa Win32/Sober. Pre používateľov počítačov a služieb siete Internet predstavuje nový Win32/Sober.B síce len malé riziko, nakoľko sa šíri len minimálne a navyše vo svojom kóde neobsahuje žiadnu deštruktívnu rutinu. Vhodné je však vedieť o tom, že vôbec existuje! Šíriť sa dokáže prostredníctvom spustiteľnej prílohy obsiahnutej v rámci emailových správ s variabilným predmetom i obsahom. Pri aktivácii využíva lacný trik s chybovým hlásením, ktorým sa snaží navodiť dojem, že používateľom spustený súbor je poškodený. Opak je však pravdou... .

Win32/Sober.B (... alias I-Worm.Sober.B)
... tento počítačový červ bol vytvorený čiastočnými zmenami vo výkonnom kóde pôvodného variantu .A. Naprogramovaný bol v jazyku Visual Basic 6, pričom jeho výsledný kód bol následne komprimovaný za použitia modifikovanej verzie nástroja UPX. Medzi počítačmi sa šíri vo forme automaticky generovaných emailových správ, ktorých predmet (... ukážka: "George W. Bush wants a new war / George W. Bush plans new wars / Have you been hacked? / Der Kannibale von Rotenburg / Du bist Ge-Hackt worden / Ich habe Sie Ge-hackt") a rovnako aj obsah (... ukážka: "Bush plans new wars against China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). ... / by me,, idiot! haha, very nice files on your system. i've made a website. ... / Nette, ungewohnliche und ausgefallene Sachen hast du da auf deinem Computer! (Was soll man dazu noch sagen) ... ") sú vyberané náhodne z väčšej predpripravenej množiny anglických i nemeckých textov. To, pre ktorý jazyk sa červ rozhodne závisí od koncovky domény tvoriacej emailovú adresu prijímateľa (t.j. novej obete). Pokiaľ je koncovka domény: .DE, .CH, .AT, .LI, .NL alebo .BE použitý je vždy nemecký text, nuž a vo všetkých ostatných prípadoch je do odosielaných emailových správ vložený text anglický.
Priamou súčasťou vyššie špecifikovaných emailových správ je tiež spustiteľný – infikovaný súbor s variabilným názvom (... ukážka: "ALLFILES.CMD / DATEN-TEXT.PIF / DATEILIST.PIF / SERVER.COM / YOURLIST.PIF / www.gwbush-new-wars.com / www.hcket-user-pcs.com"), ktorého veľkosť dosahuje v počiatočnej fáze 54 784 bajtov, pričom postupne sa môže zväčšovať, nakoľko červ dokáže na jeho koniec zapisovať náhodné bloky dát.

K aktivácii priloženého súboru môže dôjsť výlučne vtedy, keď ho používateľ spustí manuálne. V takom prípade sa na obrazovke zobrazí dialógové okno s chybovým hlásením (... pozri obrázok č.1 / č.2), ktorým sa červ snaží používateľa zmiasť a vyvolať uňho dojem, že aktivovaný súbor je poškodený a nepoužiteľný. Opak je pravdou! V rovnakom čase sa totiž na pozadí už aktívny červ postará o vytvorenie troch nových spustiteľných súborov v rámci systémového adresára OS MS Windows (... jedná sa o adresár C:\Windows\System pri OS MS Windows 9x-Me, C:\WINNT\System32 pri OS MS Windows NT-2000 alebo C:\Windows\System32 pri OS MS Windows XP). Prvý z trojice súborov má konštantný názov SPOOLER.EXE, zatiaľ čo názvy zvyšných súborov sú vytvorené takpovediac náhodne podľa kombinačnej tabuľky (... ukážka: "EKQVDLASVC.EXE / ENDSVC.EXE / SVCDLL.EXE"). Mimochodom, prístup k týmto súborom si červ kontroluje a blokuje možnosť prehliadania ich obsahu. Na jeden z trojice súborov je nakoniec vytvorený odkaz v rámci systémových registrov, vďaka ktorému bude dochádzať k jeho aktivácii pri každom štarte OS MS Windows. Modifikácia prebieha na úrovni týchto dvoch kľúčov:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Počas aktivity červa v infikovanom systéme sa v jednom okamihu nachádzajú v operačnej pamäti vždy dve jeho inštancie, čo má v konečnom dôsledku zabrániť jeho priamemu – manuálnemu odstráneniu. V prípade ukončenia jednej z bežiacich inštancií sa tá druhá okamžite postará o vytvorenie ďalšej inštancie – tzv. poistky, pričom červ prekontroluje a poprípade obnoví chýbajúce kľúče pôvodne doplnené do systémových registrov.
Hlavnú činnosť červa po jeho integrácii do systému tvorí vyhľadávanie nových emailových adries, v súboroch s príponami: .HTT, .RTF, .DOC, .XLS, .INI, .MDB, .TXT, .HTM, .HTML, .WAB, ... , .PHP, .NSF, .ASP, .SHTML, .SHTM, .DBX, .HLP, .MHT a .NFO. Všetky získané adresy priebežne ukladá do súboru nazvaného MSCOLMON.OCX, ktorý si vytvorí v systémovom adresári OS MS Windows. Prístup k obsahu tohto súboru červ opäť blokuje, pričom zozbierané dáta neskôr použije ako adresy prijímateľov pri automatickom generovaní emailových správ (... s vyššie uvedenou špecifikáciou), ktoré vo svojej prílohe obsahujú aj jeho vlastné telo. Pri procese rozposielania jednotlivých správ červ používa svoju SMTP (Simple Mail Transfer Protocol) rutinu.

Dodatočne bolo zistené, že červ počas svojej aktivity vytvára v systémovom adresári OS MS Windows ešte jeden súbor – nazvaný HUMGLY.LKUR.

Dodatok zo dňa 22.12.2003
Počas uplynulého víkendu sa na vírusovej scéne objavil ešte jeden variant červa Win32/Sober, ktorý získal označenie Win32/Sober.C. V porovnaní so svojim predchodcom sa líši síce len minimálne, no jeho aktivita v oblasti šírenia sa počítačovou sieťou Internet bola a ešte stále je o dosť výraznejšia. V konečnom dôsledku by sa teda tento červ mohol začať v najbližších dňoch masovo šíriť – a to najmä v Nemecku, odkiaľ to má k nám na Slovensko skutočne len "na skok". Z tohto dôvodu sme sa rozhodli dodatočne zverejniť jeho stručný popis.

Win32/Sober.C (... alias I-Worm.Sober.C)
... nový variant bol vytvorený drobnými úpravami zdrojového kódu svojho predchodcu, t.j. červa Win32/Sober.B a preto spomenieme len jeho najvýraznejšie zmeny a najtypickejšie poznávacie znaky. Princíp vytvárania a rozposielania automaticky generovaných emailových správ s anglickým alebo nemeckým obsahom zostal zachovaný, pričom názov spustiteľnej – infikovanej prílohy sa teraz môže podobať na web adresu (... ukážka: "www.iq4you-german-test.com / www.freewantiv.com / ... / www.free4manga.com / www.anime4allfree.com") alebo môže byť zostavený ako kombinácia slov vyberaných z predpripravenej množiny a jednej z nasledujúcich prípon: .BAT, .COM, .DOC, .EXE, .PIF alebo .TXT (... ukážka: "DOWNLOADER.EXE / YOURMAIL.BAT / TERROR-LIST.DOC / ... / COMPUTER.PIF / ZUGANGSDATEN.COM"). Pre úplnosť dodajme, že veľkosť priloženého súboru je približne 74 kB, no môže byť aj väčšia, nakoľko červ na jeho koniec dokáže zapisovať bloky náhodných dát.

K aktivácii priloženého súboru môže opäť dôjsť iba v prípade, že ho aktivuje priamo používateľ. Ak sa tak stane, na obrazovke sa zobrazí dialógové okno s chybovým hlásením (... pozri obrázok č.1 / č.2), ktorým sa červ snaží používateľa zmiasť a vyvolať uňho dojem, že aktivovaný súbor je poškodený a nepoužiteľný. V skutočnosti červ na pozadí vytvorí v systémovom adresári OS MS Windows niekoľko nových súborov:

- SYSHOSTX.EXE ... obsahuje výkonný kód červa;
- SAVESYS.DLL ... obsahuje zoznam nájdených emailových adries;
- HUMGLY.LKUR a YFJQ.YQWM ... na počiatku majú nulovú veľkosť.

V identickom adresári vznikajú navyše dve ďalšie kópie tela červa vo forme spustiteľných súborov s náhodne vytvoreným názvom a príponou .EXE. Rovnako ako červ Win32/Sober.B aj tento variant modifikuje systémové registre, v pamäti udržiava aktívne dve svoje inštancie a na pevnom disku infikovaného počítača vyhľadáva nové emailové adresy, na ktoré neskôr rozposiela automaticky generované správy, so svojim telom v ich prílohe.

Ako sme už spomenuli v predchádzajúcom texte, aktuálne sa červ Win32/Sober.B šíri medzi používateľmi len minimálne a červ Win32/Sober.C o dosť výraznejšie. Avšak vzhľadom na to, z akého množstva súborov dokáže jeden aj druhý červ získavať emailové adresy svojich nových "obetí" nemožno ich skutočnú silu úplne podceňovať. Môžeme teda len dúfať, že dostupnosť inovovaných databáz vírusových reťazcov pre jednotlivé AV-systémy a tiež nadchádzajúce vianočné sviatky (... počas ktorých bude aktivita mnohých používateľom výrazne menšia než inokedy) im nedajú príliš veľkú šancu na prežitie. Pre používateľov, ktorým sa už podarilo "vpustiť" niektorý z variantov červa Win32/Sober do svojho počítača sú určené inovované verzie Jednoúčelových AV-programov.



Súvisiace články:
28.10.2003  Win32/Sober.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.