Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
27.01.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Mydoom.A - .D  (aktualizované dňa 11.2.2004)

Vo večerných hodinách dňa 27.1.2004 objavili AV-spoločnosti nový červ Win32/Mydoom.A, ktorý spôsobil v priebehu nasledujúcich hodín celosvetovú masovú epidémiu. Včera podvečer sa podarilo nájsť druhý variant tohto červa, nazvaný Win32/Mydoom.B. Obidva tieto červy sa šíria prostredníctvom automaticky generovaných emailových správ, s variabilnou adresou odosielateľa i textom v ich predmete a obsahu. Ich súčasťou je tiež priložený spustiteľný súbor alebo archív ZIP s veľkosťou 22 kB (... variant .A) alebo 29 kB (... variant .B). Červy sa navyše dokážu šíriť Peer-to-Peer sieťou KaZaA, obsahujú integrované tzv. zadné vrátka a od istého dátumu vykonávajú DDoS útok proti web serveru SCO.com (... variant .A) a Microsoft.com (... variant .B).


Win32/Mydoom.A (... alias Win32/Novarg.A, Win32/Shimg.A alebo Win32/Mimail.R)
... tento emailový červ sa objavil ako blesk z jasného neba a okamžite prezentoval svoje možnosti v oblasti masového šírenia sa najmä prostredníctvom emailových správ. Tie obsahujú sfalšovanú adresu odosielateľa, ktorú červ nájde v súboroch dostupných v infikovanom systéme alebo si ju sám vytvorí podľa istých pravidiel. To môže mať za následok, hromadné rozposielanie informačných správ zo strany emailových serverov o nedostupnosti danej emailovej adresy, t.j. nedoručiteľnosti červom odoslanej emailovej správy. Textové informácie obsiahnuté v predmete (napríklad: "Server Report / Mail Delivery System / hi / status / hello / HELLO / Hi / test / Test / Mail Transaction Failed / Server Request / Error") a tele (napríklad: "The message contains Unicode characters and has been sent as a binary attachment. / The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.") emailových správ vytváraných červom sú taktiež generované náhodne (... používa pritom preddefinovaný zoznam kľúčových slov a krátkych fráz). Súčasťou každej takejto správy je priložený spustiteľný súbor s variabilným názvom (napríklad: "Data / Readme / Message / Body / Text / Document") a príponou: .BAT, .CMD, .PIF, .EXE alebo .SCR. V istých prípadoch môže mať súbor aj príponu .ZIP. Veľkosť tohto súboru je bez ohľadu na použitú príponu 22 528 bajtov, pričom jeho obsah je interne komprimovaný prostredníctvom nástroja UPX. Pre lepšiu obrazotvornosť o tom, ako v praxi vyzerá "infikovaná" emailová správa nasledujú tri názorné ukážky: č.1 / č.2 / č.3.

V prípade manuálnej aktivácie priloženého súboru zo strany používateľa červ vytvorí dva nové súbory nazvané TASKMON.EXE a SHIMGAPI.DLL v systémovom adresári OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP alebo ?:\WINNT\System32 pri OS MS Windows NT/200x) a jeden súbor naplnený náhodnými znakmi v dočasnom adresári, pričom ten automaticky otvorí v aplikácii Notepad / Poznámkový blok (... pozri obrázok). Do systémových registrov červ zapíše niekoľko nových hodnôt, prostredníctvom ktorých si zabezpečí pravidelnú aktiváciu svojho kódu pri každom ďalšom štarte systému i aktiváciu priloženého backdooru.

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
... TaskMon = [systémový adresár OS MS Windows]\taskmon.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... TaskMon = [systémový adresár OS MS Windows]\taskmon.exe

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
... (Default) = [systémový adresár OS MS Windows]\shimgapi.dll


V priebehu svojej aktivity sa červ snaží nájsť v infikovanom systéme aplikáciu KaZaA a jej zdieľaný adresár, ktorý slúži pre poskytovanie dát ostatným účastníkom siete Peer-to-Peer. Ak sa mu ho podarí lokalizovať pridá doňho svoju kópiu. Jej názov zmení tak, aby bol pre ostatných používateľov zaujímavý – príťažlivý (napríklad: "WinAmp5 / ICQ2004-Final / Activation_Crack / Office_Crack / Nuke2004"), a je zakončený niektorou z týchto prípon: .PIF, .SCR alebo .BAT.

Ďalšou dosť dôležitou činnosťou červa je vyhľadávanie súborov s príponami: .WAB, .ADB, .TBB, .DBX, .ASP, .PHP, .SHT, .HTM, .PL a .TXT, v ktorých sa snaží identifikovať nové emailové adresy. Tie neskôr použije pri hromadnom rozposielaní emailových správ doplnených o svoje telo (... ich špecifikácia bola uvedená vyššie) a distribuovaných za použitia vlastnej SMTP rutiny.

Podľa zistených informácií červ Win32/Mydoom.A vytvára za pomoci súboru SHIMGAPI.DLL v infikovanom systéme aj tzv. zadné vrátka. Jedná sa o otvorené sieťové TCP porty 3127 až 3198, na ktorých očakáva backdoor príkazy od vzdialeného útočníka pokúšajúceho sa preniknúť do systému. Najhoršou aktivitou červa je rutina realizujúca od 1.2.2004 agresívny DDoS (Distributed Denial of Service) útok smerovaný proti web serveru www.sco.com. Každú sekundu sa naň snaží odoslať klasickú požiadavku "GET / HTTP/1.1" – a to za jediným účelom, vyradiť daný server z prevádzky. Ďalší dôležitý dátum týkajúci sa tohto červa je 12.2.2004, kedy červ deaktivuje svoju rutinu určenú pre hromadné rozposielanie automaticky generovaných emailových správ. Avšak integrovaný backdoor zostáva v infikovanom systéme aktívny aj naďalej... .


Win32/Mydoom.B (... alias Win32/Novarg.B, I-Worm.Novarg.B alebo Win32/Shimg.B)
... druhý variant masovo rozšíreného červa Win32/Mydoom sa objavil dňa 28.1.2004 v popoludňajších hodinách a podľa zistených správ sa začal šíriť dosť intenzívne. O jeho aktivite sme v posledných hodinách získali desiatky hlásení od používateľov z Čiech i Slovenska a tak považujeme za potrebné zverejniť aspoň tie najdôležitejšie informácie týkajúce sa emailového červa Win32/Mydoom.B. Vzhľadom na to, že pôvodný variant .A i nový variant .B fungujú veľmi podobne spomenieme v nasledujúcom popise iba ich vzájomné rozdiely.

Červ sa šíri prostredníctvom automaticky generovaných emailových správ, ktoré obsahujú sfalšovanú adresu odosielateľa. Textové informácie obsiahnuté v ich predmete (napríklad: "Returned mail / Delivery Error / Status / Server Report / Mail Transaction Failed / Mail Delivery System / hello / hi") a tele (napríklad: "Sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. / Mail transaction failed. Partial message is available. / The message contains Unicode characters and has been sent as a binary attachment.") sú poskladané z náhodne vybraných slov a krátkych fráz, ktoré má červ integrované priamo vo svojom kóde, prípadne sú vygenerované úplne náhodne (... pozri obrázok č.1 / č.2 / č.3). Súčasťou každej emailovej správy je aj príloha vo forme spustiteľného súboru alebo ZIP archívu s variabilným názvom (napríklad: "Doc / Data / Body / Readme / Message / Body / Text / Test / Document") a jednou z prípon: .BAT, .CMD, .PIF, .EXE alebo .SCR. Veľkosť tohto súboru je 29 184 bajtov, pričom jeho kód je interne komprimovaný nástrojom UPX.

K aktivácii priloženého súboru môže dôjsť jedine na podnet zo strany používateľa, pričom ak sa tak stane červ za účelom svojho maskovania zobrazí informačné okno s textom "Not enough memory to load this file" (... pozri obrázok). Na pozadí vytvorí v systémovom adresári OS MS Windows dva nové súbory nazvané EXPLORER.EXE a CTFMON.DLL (... s veľkosťou 6 144 bajtov – tvorí tzv. backdoor komponent). V dočasnom adresári vzniká ešte jeden súbor, ktorý je naplnený náhodne vygenerovanými znakmi a zobrazení prostredníctvom aplikácie Poznámkový blok. Zároveň tiež dochádza k úpravám v rámci systémových registrov:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
... Explorer = [systémový adresár OS MS Windows]\explorer.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... Explorer = [systémový adresár OS MS Windows]\explorer.exe

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
... (Default) = [systémový adresár OS MS Windows]\ctfmon.dll


Novinkou v tomto variante je modifikácia systémového súboru HOSTS, pomocou ktorého je možné vykonávať priame priradenie IP adresy ku konkrétnej doméne alebo web adrese. Červ pôvodný obsah tohto súboru (... tvorí ho väčšinou iba zápis "127.0.0.1 localhost") prepíše svojim vlastným – modifikovaným obsahom. To zapríčiní, že z infikovaného počítača sa používateľ nebude môcť pripojiť k serverom spoločností: Microsoft, Computer Associates, F-Secure, Kaspersky Labs., Network Associates, Sophos, TrendMicro, Symnatec, ... . Všetky ich web adresy totiž začne infikovaný systém smerovať na nezmyselnú IP adresu 0.0.0.0, čo môže používateľovi výrazne sťažiť proces eliminácie červa.

Pokiaľ ide o princípy vyhľadávania nových emailových adries, šírenia sa červa prostredníctvom siete KaZaA a hromadného rozposielania automaticky vygenerovaných emailových správ, tak tie prebiehajú rovnako ako je spomenuté pri variante .A. Možnosť zaútočiť na infikovaný systém na diaľku za použitia backdoor komponentu sa tiež nezmenila.

Značného rozšírenia sa dočkala rutina slúžiaca pre vykonávanie agresívneho DDoS útoku. Tá sa aktivuje prvý raz dňa 1.2.2004 o 16:09:16 (UTC) a začne permanentne zasielať požiadavku "GET / HTTP/1.1" na web server www.sco.com zo snahou vyradiť ho z prevádzky. Druhá aktivácia nastane dňa 3.2.2004 o 13:09:18 (UTC), kedy červ odoberie smerovaciu informáciu týkajúcu sa servera www.microsoft.com uloženú v súbore HOSTS a začne aj naň zasielať požiadavku "GET / HTTP/1.1" zo snahou vyradiť ho z prevádzky. To či sa červovi podarí zrealizovať obidva tieto útoky v plnom rozsahu s dosiahnutím stanoveného cieľa dnes ešte nie je zrejmé, no treba počítať pre istotu vždy s tým horším variantom... .

Na záver ešte jedna dôležitá informácia – rovnako ako variant .A aj variant .B má obmedzenú životnosť, ktorá sa mu končí 1.3.2004. Po tomto dátume sa červ prestane masovo šíriť, no backdoor komponent ponechá aktívny vo všetkých infikovaných systémoch.

Pri analýze výkonného kódu červa bol objavený aj nasledujúci textový reťazec – odkaz jeho autora:
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)


Win32/Mydoom.C (... alias Win32/Doomjuice.A)
... jedná sa o červ, ktorý sa dokáže šíriť prostredníctvom počítačovej siete. Náhodným spôsobom vyhľadáva počítače infikované červami Win32/Mydoom.A a Win32/Mydoom.B. V prípade, že na takýto systém narazí pokúsi sa nadviazať spojenie s backdoorom, ktorý je v ňom aktívny. Za jeho pomoci prekopíruje svoje telo do vzdialeného systému, v ktorom ho následne aktivuje. Popri iných činnostiach sa tento červ pokúša vykonávať DDoS útok na web server spoločnosti Microsoft.

Detailnejší popis červa Win32/Mydoom.C nájdete v samostatnom článku, nakoľko väčšina AV-spoločností ho pár hodín po jeho objavení premenovala na Win32/Doomjuice.A.


Win32/Mydoom.D
... posledný variant masovo rozšíreného červa Win32/Mydoom, ktorý bol objavený v sieti Internet dňa 10.2.2004 dorazil už aj na Slovensko a preto sa oplatí spomenúť o ňom aspoň niektoré najdôležitejšie informácie. Dostupné analýzy jasne dokazujú, že sa jedná o minimálne upravený variant červa Win32/Mydoom.A. Šíriť sa dokáže prostredníctvom automaticky generovaných emailových správ s variabilným obsahom i názvom prílohy, ktorá má veľkosť 36 864 bajtov (... jej kód je interne komprimovaný nástrojom Petite). Tieto správy červ posiela na náhodne generované emailové adresy i adresy, ktoré sa mu podarí nájsť vo vybraných súboroch uložených na infikovanom počítači. V minimálnej miere sa červ dokáže šíriť aj prostredníctvom dát zdieľaných v Peer-to-Peer sieti KaZaA. Pre lepšiu obrazotvornosť o tom, ako v praxi vyzerá "infikovaná" emailová správa nasleduje trojica názorných ukážok: č.1 / č.2 / č.3.

Spôsoby, akými sa tento červ po svojej aktivácii pokúša usadiť v systémových registroch a systéme, ako v ňom vyhľadáva nové emailové adresy a rozposiela na ne svoje kópie, ako do infikovaného systému integruje malý backdoor komponent a tiež ako vykonáva cielený DDoS útok proti web serveru spoločnosti The SCO Group sú identické s tými, ktoré sme spomínali vo vyššie uvedenom texte pri popise červa Win32/Mydoom.A.


V čase uverejnenia a následnej aktualizácie tohto popisu dokázala identifikovať a eliminovať počítačové červy Win32/Mydoom.A – .D väčšina existujúcich AV-systémov. Podľa štatistík dostupných na web stránkach spoločnosti MessageLabs. sa tieto červy šíria celosvetovou sieťou Internet veľmi intenzívne. Práve preto odporúčame používateľom počítačov, aby v čo najkratšom čase vykonali aktualizáciu používaného AV-systému a v najbližších hodinách/dňoch boli oveľa opatrnejší pri práci s nevyžiadanými emailovými správami pochádzajúcimi od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať niektorý z červov Win32/Mydoom.A - .F vo svojom systéme ponúkame aktualizované jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV.



Súvisiace články:
10.02.2004  Win32/Doomjuice.A - .B - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.