Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
17.02.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.B  (alias Win32/Beagle, Win32/Alue)

Aktivita škodlivých kódov v posledných štyroch týždňoch enormne vzrástla a zdá sa, že v najbližšom období si udrží doterajší trend, pri ktorom sa každý týždeň podarí AV-spoločnostiam objaviť aspoň jeden výraznejšie sa šíriaci červ. Najnovším prírastkom do rodiny škodlivých kódov sa dnes poobede stal červ Win32/Bagle.B. Šíriť sa dokáže prostredníctvom emailových správ, ktorých adresa odosielateľa je podstrčená, predmet tvorí text "ID [niekoľko náhodných písmen]... thanks" a spustiteľná príloha s variabilným názvom má veľkosť len 11 kB. Do systému červ inštaluje jednoduchý backdoor, ktorý môže zneužiť vzdialený útočník. Životnosť červa sa končí dňa 26.2.2004 napoludnie.

Počítačový červ Win32/Bagle.B (... alias Win32/Beagle.B, Win32/Alue alebo Win32/Tanx) bol naprogramovaný v Assembleri, pričom jeho výsledný kód (... o veľkosti približne 53 kB) bol komprimovaný za použitia nástroja UPX. Ako už bolo uvedené červ sa dokáže šíriť výlučne prostredníctvom automaticky generovaných emailových správ, ktoré majú uvedenú falošnú adresu odosielateľa a sú pre ne príznačné textové informácie obsiahnuté v ich predmete: "ID [niekoľko náhodných písmen]... thanks" i obsahu: "Yours ID [niekoľko náhodných písmen] -- Thanks" (... pozri obrázok). Súčasťou každej emailovej správy je aj spustiteľný súbor s náhodne vytvoreným názvom pozostávajúcim z niekoľkých malých písmen a príponou .EXE (... na niektorých systémoch sa pri súbore zobrazí ikona príznačná pre zvukový súbor OS MS Windows). Veľkosť súboru je 11 264 bajtov.

K aktivácii priloženého súboru môže dôjsť len na priamy podnet zo strany používateľa, pričom hneď na začiatku si červ skontroluje aktuálny systémový dátum. Ak je dátum rovný 26. februáru alebo akémukoľvek neskoršiemu dňu červ ukončí svoju činnosť a počítač neinfikuje. V opačnom prípade sa spustí aplikácia SNDREC32.EXE (... jedná sa o program určený pre záznam zvuku v rámci OS MS Windows), ktorej úlohou je odpútať pozornosť používateľa. V rovnakom čase sa červ pokúsi na pozadí prekopírovať svoje telo do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP alebo ?:\WINNT\System32 pri OS MS Windows NT/200x), kde ho uloží do novo vytvoreného súboru nazvaného AU.EXE (... veľkosť 11 264 bajtov). Následne červ doplní niekoľko nových hodnôt do systémových registrov, pričom jednou z nich si zabezpečí pravidelnú aktiváciu uvedeného súboru pri každom štarte počítača.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... au.exe = [cesta k systémovému adresáru OS]\au.exe

HKEY_CURRENT_USER\Software\Windows2000
... frn = 1
... gid = [náhodný reťazec číslic]


V infikovanom systéme sa červ ďalej pokúša aktivovať jednoduchý backdoor komponent, ktorý očakáva príkazy od vzdialeného útočníka na TCP porte 8866 (... ak je uvedený port obsadený vygeneruje červ náhodne iné číslo). V tomto prípade existuje značné riziko, že by mohol vzdialený útočník do takto nechráneného systému zaslať priamo počítačovou sieťou akýkoľvek nový súbor (... obsahujúci aktualizáciu červa alebo nejaký iný škodlivý kód) a špeciálnym príkazom vykonať jeho aktiváciu. Ak by sa vzdialený útočník pokúsil zaslať nový súbor do infikovaného systému, tak súbor by sa mal automaticky uložiť do systémového adresára OS MS Windows. Červ sa navyše počas svojej aktivity pokúša raz za 10 000 sekúnd odoslať príkaz HTTP GET na niektorý zo štvorice predurčených web serverov. Zaslaný príkaz okrem IP adresy vzdialeného – infikovaného počítača obsahuje aj informáciu o tom, na ktorom porte sa nachádza aktívny spomínaný backdoor. V čase písania tohto popisu bol z väčšiny web serverov odstránený skript súbor slúžiaci pre sumarizáciu informácií o infikovaných systémoch.

Poslednou známou aktivitou, ktorú tento červ vykonáva je vyhľadávanie súborov s príponami .HTM, .HTML, .TXT a .WAB. V obsahu týchto súborov sa snaží identifikovať emailové adresy, na ktoré rozposiela automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami) spolu so svojim telom v ich prílohe. Pri tejto činnosti červ využíva vlastnú SMTP rutinu, ktorá dokáže navyše "falšovať" aj emailovú adresu odosielateľa.

Na základe štatistík získaných z rôznych emailových serverov v priebehu posledných hodín sa dá predpokladať, že by sa emailový červ Win32/Bagle.B mohol v najbližších hodinách a dňoch výraznejšie rozšíriť. Používateľom preto odporúčame, aby urýchlene vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo vyššie popisovaný červ aktivovať vo svojom systéme ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú tak ako vždy v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
28.04.2004  Win32/Bagle.Z - Popisy vírusov
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
15.03.2004  Win32/Bagle.M - .T - Popisy vírusov
01.03.2004  Win32/Bagle.C - .E, .H - Popisy vírusov
19.01.2004  Win32/Bagle.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.