Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
01.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.C - .E, .H  (aktualizované dňa 3.3.2004)

Nestáva sa to príliš často, no počas uplynulého víkendu sa poradilo AV-spoločnostiam identifikovať v priebehu 24 hodín tri nové varianty počítačového červa Win32/Bagle. Očakáva sa, že ich masovému rozšíreniu by mohlo dôjsť začiatkom tohto týždňa. Červy Win32/Bagle.C & .D sa líšia len minimálne. Šíriť sa dokážu prostredníctvom emailových správ obsahujúcich v prílohe ZIP archív s náhodným názvom, ktorý v sebe ukrýva spustiteľný súbor, t.j. samotný červ. Životnosť týchto variantov končí 14.3.2004. Červ Win32/Bagle.E bol čiastočne upravený, šíri sa však rovnako ako jeho predchodcovia a do systému tiež inštaluje malý backdoor komponent. Jeho životnosť sa končí až 25.3.2004, hoci integrovaný backdoor komponent ostáva v systéme aktívny aj naďalej, čo môže viesť k ohrozeniu systému zo strany vzdialeného útočníka.

Win32/Bagle.C (... alias Win32/Beagle.C)
... predstavuje klasický emailový červ naprogramovaný v jazyku C, ktorého výsledný kód bol komprimovaný za použitia nástroja UPX. Medzi používateľmi sa šíri prostredníctvom automaticky generovaných emailových správ, ktoré majú uvedenú falošnú adresu odosielateľa a v ich predmete je uvedené niektoré z kľúčových slov alebo slovných spojení (napríklad: "Price / Price list / Pricelist / Daily activity report / Maria / Melissa / Registration confirmation / USA government abolishes the capital punishment / ... / Hello my friend / The summary"), ktoré červ obsahuje vo svojom kóde. Telo emailovej správy je v tomto prípade prázdne, t.j. neobsahuje žiaden text, vďaka čomu sa dajú nežiaduce správy ľahko identifikovať. Súčasťou každej emailovej správy je aj príloha vo forme archívu typu ZIP (... s približnou veľkosťou okolo 16 kB), ktorého názov červ vytvára z náhodne vybraných znakov. V rámci tohto archívu sa nachádza umiestnený spustiteľný súbor s náhodným názvom a príponou .EXE, ktorého veľkosť je 15 872 bajtov. Na niektorých systémoch sa môže pri tomto súbore zobraziť ikona charakteristická pre dokumenty vytvorené aplikáciou MS Excel.

K aktivácii priloženého súboru môže dôjsť len vtedy, ak používateľ otvorí priložený ZIP archív a spustí v ňom obsiahnutý spustiteľný súbor. V takomto prípade si červ okamžite skontroluje systémový dátum a pokiaľ zistí, že je rovný 14. marcu alebo akémukoľvek neskoršiemu dňu ukončí svoju činnosť a počítač neinfikuje. V opačnom prípade dôjde k spusteniu aplikácie NOTEPAD.EXE, ktorej úlohou je odpútať na chvíľu pozornosť používateľa. Na pozadí sa červ pokúsi prekopírovať svoje telo do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP alebo ?:\WINNT\System32 pri OS MS Windows NT/200x), kde ho uloží do novo vytvoreného súboru nazvaného README.EXE (... s veľkosťou 15 872 bajtov). V identickom adresári červ vytvorí ešte trojicu nových súborov, ktoré potrebuje pre svoju ďalšiu činnosť – jedná sa o súbory:

  • ONDE.EXE (18 944 bajtov) ... jedná sa DLL knižnicu slúžiacu pre rozposielanie emailových správ,


  • DOC.EXE (1 536 bajtov) ... tento súbor umožňuje spustenie predchádzajúcej DLL knižnice,


  • README.EXEOPEN (15 994 bajtov) ... ZIP archív obsahujúci kópiu tela červa.

Následne červ doplní niekoľko nových hodnôt do systémových registrov, pričom jednou z nich si zabezpečí pravidelnú aktiváciu uvedeného súboru pri každom štarte počítača.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... gouday.exe = [cesta k systémovému adresáru OS]\readme.exe

HKEY_CURRENT_USER\Software\DateTime2
... frun = 1
... port = 2745
... uid = [náhodný reťazec číslic]

* Hodnota uložená v UID slúži pre vzdialeného útočníka ako "jednoznačný" identifikátor infikovaného systému.


V infikovanom systéme sa červ ďalej pokúša aktivovať jednoduchý backdoor komponent, ktorý očakáva príkazy od vzdialeného útočníka na TCP porte 2745. V tomto prípade existuje značné riziko, že by mohol vzdialený útočník do takto nechráneného systému poslať priamo počítačovou sieťou akýkoľvek nový súbor (... obsahujúci aktualizáciu červa alebo nejaký iný škodlivý kód) a špeciálnym príkazom vykonať jeho aktiváciu. Červ sa navyše počas svojej aktivity pokúša raz za 11 400 sekúnd odoslať príkaz HTTP GET na niektorý z trojice predurčených web serverov. Zaslaný príkaz okrem IP adresy vzdialeného – infikovaného počítača obsahuje aj informáciu o tom, na ktorom porte sa nachádza aktívny spomínaný backdoor a akú hodnotu obsahuje prvok UID zapísaný v systémových registroch. V čase písania tohto popisu bol z väčšiny web serverov odstránený skript súbor slúžiaci pre sumarizáciu informácií o infikovaných systémoch.

Medzi ďalšie aktivity tohto červa patrí vyhľadávanie a deaktiváciu procesov dostupných v operačnej pamäti, ktoré reprezentujú aktualizačné moduly vybranej skupiny bezpečnostných a AV-aplikácií (... tento proces sa opakuje raz za 100 milisekúnd). Tak ako všetky emailové červy aj Win32/Bagle.C sa pokúša vyhľadávať na disku infikovaného systému súbory s príponami .ASP, .ODS, .CFG, .PHP, .PL, .ADB, .SHT, .HTM, .HTML, .DBX, .MDX, .EML, .NCH, .MMF, .TXT a .WAB. V obsahu týchto súborov sa snaží identifikovať emailové adresy, na ktoré následne rozposiela automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami – vytvárané sú priamo v operačnej pamäti) spolu so svojim telom v ich prílohe. Pri tejto činnosti červ využíva integrované MIME a SMTP rutiny, ktoré dokážu "falšovať" aj emailovú adresu odosielateľa.

Win32/Bagle.D (... alias Win32/Beagle.D)
... už v úvode sme naznačili, že rozdiely medzi červom Win32/Bagle.C a Win32/Bagle.D sú skutočne nepatrné. Patrí medzi ne to, že spustiteľný súbor obsiahnutý v ZIP archíve tvoriacom prílohu rozposielaných emailových správ je komprimovaný nástrojom PeX, namiesto pôvodne použitého nástroja UPX a v systémových registroch došlo k premenovaniu jedného z vytváraných kľúčov: HKEY_CURRENT_USER\Software\DateTime2 sa zmenil na HKEY_CURRENT_USER\Software\DateTime3.

Win32/Bagle.E (... alias Win32/Beagle.E)
... tento variant sa zmenil o niečo výraznejšie. Prvou zmenou je, že spustiteľný súbor obsiahnutý v ZIP archíve tvoriacom prílohu rozposielaných emailových správ je komprimovaný opäť nástrojom PeX. Veľkosť prílohy sa navyše môže meniť, nakoľko červ dokáže na koniec súboru pridávať náhodné dáta. Po aktivácii výkonného kódu červa dochádza ku kontrole systémového dátumu. Ak je menší ako 25. marca červ sa pokúsi infikovať systém, pričom v opačnom prípade červ ukončí svoju aktivitu (... integrovaný backdoor však ostáva aktívny aj naďalej). Zmenili sa tiež názvy súborov, ktoré červ počas svojej integrácie do systému vytvára na pevnom disku:

  • I1RU74N4.EXE ... tvorí výkonný kód červa,


  • GODO.EXE ... jedná sa DLL knižnicu slúžiacu pre rozposielanie emailových správ,


  • II455NJ4.EXE ... tento súbor umožňuje spustenie predchádzajúcej DLL knižnice,


  • I1RU74N4.EXEOPEN ... ZIP archív (... s variabilnou veľkosťou) obsahujúci kópiu tela červa.

Zmeny nastavili samozrejme aj na úrovni systémových registrov:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... rate.exe = [cesta k systémovému adresáru OS]\ i1ru74n4.exe

HKEY_CURRENT_USER\Software\DateTime4
... frun = 1
... port = 2745
... uid = [náhodný reťazec číslic]


Všetky ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante Win32/Bagle.C.

Win32/Bagle.H (... alias Win32/Beagle.H - doplnené dňa 3.3.2004)
... jeden z posledne identifikovaných variantov emailového červa Win32/Bagle sa intenzívnejšie začal šíriť medzi používateľmi počítačov prostredníctvom emailových správ, pre ktoré sú príznačné informácie uvedené v ich predmete: "Hokki =) / Weah, hello! :-) / Weeeeee! ;))) / Hi! :-) / ello! =)) / Hey, ya! =)) / ^_^ meay-meay! / ^_^ meay-meay! / ^_^ mew-mew (-:" a tiež obsahu: "Hey, dude, it's me ^_^ :P / Argh, i don't like the plaintext :) / I don't bite, weah! / Looking forward for a response :P". V závere obsahu každej červom vytvorenej správy sa nachádza veta: "btw [náhodný reťazec piatich znakov] is a password for archive", ktorá určite zaujme nejedného používateľa. Informuje ho totiž, aké heslo má použiť pre prístup do priloženého súboru, ktorý tvorí zaheslovaný archív typu ZIP (... s veľkosťou 19 až 22 kB). Názov prílohy je tak ako vždy variabilný (napríklad: "MSG.ZIP / README.ZIP / TEXTDOCUMENT.ZIP / MSGINFO.ZIP / DOCUMENT.ZIP / INFO.ZIP / ... / LETTER.ZIP / TEXTFILE.ZIP / MOREINFO.ZIP"). V rámci spomenutého ZIP archívu je ukrytý spustiteľný súbor obsahujúci výkonný kód samotného červa.

K aktivácii tohto červa môže dôjsť len vtedy, ak používateľ otvorí pomocou hesla priložený ZIP archív a spustí v ňom obsiahnutý spustiteľný súbor. Všetky ďalšie činnosti sú takmer úplne zhodné s tými, ktoré boli popísané pri variante Win32/Bagle.C. Zmeny nastali len na úrovni súborov, ktoré červ integruje do systému:

  • I11R54N4.EXE ... tvorí výkonný kód červa,


  • GO154O.EXE ... jedná sa DLL knižnicu slúžiacu pre rozposielanie emailových správ,


  • I1I5N1J4.EXE ... tento súbor umožňuje spustenie predchádzajúcej DLL knižnice,


  • I11R54N4.EXEOPEN ... ZIP archív (... s variabilnou veľkosťou i heslom) obsahujúci kópiu tela červa.

Nepatrné úpravy nastali aj v systémových registroch:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... rate.exe = [cesta k systémovému adresáru OS]\ i11r54n4.exe


Dôležité je snáď ešte spomenúť, že aj tento variant červa Win32/Bagle inštaluje do systému počas svojej aktivity jednoduchý backdoor, ktorý môže vzdialenému útočníkovi poslúžiť pre neautorizovaný prístup k dátam v rámci infikovaného systému.

Posledne identifikovaným variantom bol Win32/Bagle.I, ktorý funguje rovnako ako Win32/Bagle.H, no navyše dokáže v infikovanom systéme vyhľadávať adresáre, v ktorých názve sa nachádza reťazec "share" a ukladať do nich kópie svojho tela pod variabilnými názvami. To je zároveň dôvod prečo sa tento variant dokáže za istých okolností šíriť nielen prostredníctvom hromadne rozposielaných emailových správ, ale aj systémov slúžiacich pre vzájomné zdieľanie dát (... ako sú napríklad: iMesh, KaZaA a iné).

Vychádzajúc zo štatistík dostupných na slovenských i zahraničných emailových serverov sa dá predpokladať, že emailové červy Win32/Bagle.C - .E & .H by sa mohli v najbližšom čase rozšíriť výraznejšie, než tomu bolo počas uplynulých dní. Používateľom preto odporúčame, aby urýchlene vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo niektorý z vyššie spomínaných červov aktivovať vo svojom systéme ponúkame aktualizované jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
28.04.2004  Win32/Bagle.Z - Popisy vírusov
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
15.03.2004  Win32/Bagle.M - .T - Popisy vírusov
17.02.2004  Win32/Bagle.B - Popisy vírusov
19.01.2004  Win32/Bagle.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.