Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
01.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Netsky.D & .E  (aktualizované dňa 3.3.2004)

Počas dopoludnia zareagovali domáce i zahraničné AV-spoločnosti relatívne promptne na výskyt emailového červa Win32/Netsky.D. Jeho zvýšenú aktivitu je možné sledovať na základe dostupných štatistík rôznych AV-spoločností nielen v zahraničí, ale aj u nás – na Slovensku. Tento červ sa šíri prostredníctvom emailových správ, ktoré majú podstrčenú falošnú adresu odosielateľa, v predmete obsahujú text "RE: [anglické slovo]" a ich obsah tvorí krátka anglická veta. Súčasťou správy je aj spustiteľný súbor s variabilným názvom a príponou .PIF, ktorý ma veľkosť okolo 17 kB. Z infikovaného systému sa červ snaží rozposielať čo najväčší počet svojich kópií na nové emailové adresy a zároveň odstrániť zo systémových registrov hodnoty, ktoré do nich vkladajú iné škodlivé kódy, t.j. Win32/Mydoom.A, Win32/Mydoom.B a Win32/Mimail.T.

Win32/Netsky.D
... predstavuje počítačový červ vytvorený v programovacom jazyku MS Visual C++ 6.0, ktorého výsledný spustiteľný kód bol komprimovaný za použitia nástroja Petite. Jedná sa o klasický červ, ktorý sa medzi používateľmi šíri prostredníctvom emailových správ obsahujúcich falošnú adresu odosielateľa. Pre tieto správy sú príznačné textové informácie uvedené v ich predmete: "Re: Document / Re: Re: Document / Re: Re: Thanks! / Re: Thanks! / Re: Your document / Re: Hi / Re: Hello / Re: Re: Re: Your document / Re: Here / Re: Your music / Re: Your software / ... / Re: Excel file / Re: Word file / Re: Your text / Re: Your letter" a obsahu: "Your document is attached. / Here is the file. / See the attached file for details. / Please have a look at the attached file. / Please read the attached file. / Your file is attached.". Súčasťou každej správy je priložený súbor s variabilným názvom (... generovaným na základe kľúčových slov obsiahnutých v kóde červa) a príponou .PIF (napríklad: "YOUR_DOCUMENT.PIF / DOCUMENT.PIF / DOCUMENT_FULL.PIF / ... / YOUR_DETAILS.PIF / YOUR_BILL.PIF / YOUR_TEXT.PIF / YOUR_WEBSITE.PIF"). Jeho veľkosť je 17 424 bajtov.

K aktivácii priloženého súboru môže dôjsť len na podnet zo strany používateľa. Po začiatku červ prekopíruje svoje telo do súboru nazvaného WINLOGON.EXE, ktorý vytvorí v hlavnom adresári OS (t.j. v adresári ?:\Windows pri OS MS Windows 9x/Me/XP alebo ?:\WINNT pri OS MS Windows NT/200x). Ďalej červ doplní do systémových registrov novú hodnotu odkazujúcu sa na novovytvorený súbor, čím si zabezpečí pravidelnú aktiváciu svojho kódu pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... ICQ Net = [cesta k hlavnému adresáru OS]\winlogon.exe –stealth


Zároveň červ v systémových registroch vyhľadá a v prípade dostupnosti odstráni hodnoty/kľúče, ktoré do nich vkladajú počas svojej činnosti iné škodlivé kódy (t.j. Win32/Mydoom.A, Win32/Mydoom.B a Win32/Mimail.T).

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... Taskmon
... Explorer
... Windows Services Host
... KasperskyAV
... System.
... msgsvr32
... delete me
... service
... Sentry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
... System.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Taskmon
... Explorer
... Windows Services Host
... KasperskyAV
... OLE
... d3update.exe
... au.exe

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch


V ďalšej fáze sa červ snaží vyhľadávať na pevných diskoch v rozsahu C: až Z: (... okrem CD/DVD mechaník) súbory s príponami: .EML, .TXT, .PHP, .PL, .HTM, .HTML, .VBS, .RTF, .UIN, .ASP, .WAB, .DOC, .ADB, .TBB, .DBX, .SHT, .OFT, .MSG, .SHTM, .CGI a .DHTM. V ich obsahu hľadá nové emailové adresy, na ktoré neskôr pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Červ pri vytváraní emailových správ "falšuje" emailovú adresu odosielateľa, čím sa snaží zabrániť priamej identifikácii infikovaných počítačových systémov.

Pri analýze tohto škodlivého kódu bol v jeho kóde identifikovaný nasledujúci textový reťazec: "be aware! Skynet.cz - -->AntiHacker Crew<--" (... pozri obrázok). Na záver ešte spomeňme, že dňa 2.3.2004 v čase medzi 6:00 a 8:59 by mal počítač infikovaný červom Win32/Netsky.D vydávať prostredníctvom zabudovaného reproduktora rôzne tóny (... niektorí ľudia tvrdia, že sa dané zvuky podobajú signálov z kozmu – tu je krátka zvuková ukážka).

Win32/Netsky.E (doplnené dňa 3.3.2004)
... jedná sa o upravený variant vyššie spomínaného červa, ktorý sa v posledných dňoch začal intenzívnejšie šíriť medzi používateľmi počítačov prostredníctvom automaticky generovaných emailových správ. Tie obsahujú vo svojom predmete jedno alebo viacero anglických slov/slovných spojení a v obsahu majú uvedenú jednu krátku anglickú vetu. Všetky tieto informácie červ generuje náhodne na základe rozsiahlej množiny kľúčových slov a fráz, ktorú ukrýva vo svojom kóde. Súčasťou takýchto emailových správ je aj priložený súbor s variabilným názvom a najčastejšie so zdvojenou príponou, ktorá vzniká kombináciou prípon .TXT, .RTF, .DOC, .HTM, .JPG alebo .GIF a zároveň .EXE, .COM, .BAT, .PIF, .CMD alebo .SCR (napríklad: DOCUMENT.TXT.EXE / ASSOCIAL.RTF.SCR). Červ dokáže ako súčasť masovo rozposielaných správ vytvárať archív typu ZIP, ktorý v sebe integruje spustiteľný súbor. Veľkosť spustiteľného súboru priloženého k jednotlivým emailovým správam alebo obsiahnutého v rámci ZIP archívu je 24 840 bajtov (... jeho kód je interne komprimovaný pomocou nástroja Petite).

Všetky ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri jeho predchádzajúcom – masovo rozšírenom variante Win32/Netsky.D.

Podľa štatistík zverejnených a priebežne aktualizovaných na serveri AV-spoločnosti F-Secure je možné sledovať výrazné rozšírenie červa Win32/Netsky.D v celosvetovom meradle. Používateľom odporúčame, aby okamžite vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo vyššie popisované červy aktivovať vo svojom systéme ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
21.04.2004  Win32/Netsky.X - .Z - Popisy vírusov
30.03.2004  Win32/Netsky.Q, .T, .U - Popisy vírusov
24.03.2004  Win32/Netsky.P - Popisy vírusov
18.02.2004  Win32/Netsky.B & .C - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.