Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
15.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.M - .T  (aktualizované dňa 18.3.2004)

Počas uplynulého víkendu (t.j. sobotného večera) sa podarilo AV-spoločnostiam identifikovať nový a vcelku zaujímavý variant červa Win32/Bagle, ktorý získal označenie Win32/Bagle.M. Tento červ sa rovnako ako jeho predchádzajúce varianty šíri medzi používateľmi prostredníctvom emailových správ, ktoré majú vo svojom predmete a aj obsahu uvedené variabilné textové informácie. Ich súčasťou je buď klasický, spustiteľný súbor alebo heslom chránený RAR/ZIP archív. Zaujímavé je pritom to, že heslo umožňujúce otvoriť priložený archív nie je v emailovej správe uvedené v textovej, ale v grafickej podobe. Túto skutočnosť dosť nepríjemne vnímajú tvorcovia AV-systémov Kaspersky Anti-Virus a BitDefender, ktorí do svojich produktov implementovali technológiu schopnú identifikovať v rámci obsahu prijímaných emailových správ heslá určené pre rozkódovanie archívov typu RAR/ZIP. Použitá technológia bola účinná pri predchádzajúcich variantoch červov Win32/Bagle a tiež Win32/Nestky, ktoré mali potrebné heslá uvedené v obsahu automaticky generovaných emailových správ – avšak v textovej podobe. Autor červa Win32/Bagle.M tvorcom týchto AV-systémov doslova prešiel cez rozum, keď heslo potrebné pre rozkódovanie priloženého RAR/ZIP archívu začal vkladať do masovo rozposielaných emailových správ (... generovaných samotným červom) vo forme malého obrázku. Na ňom je uvedená číselná kombinácia, ktorá určite upúta nejedného používateľa, čo v konečnom dôsledku môže zapríčiniť výraznejšie rozšírenie tohto emailového červa. O výraznejšej inovácii výkonného kódu červa Win32/Bagle.M svedčí aj to, že do systému počas svojej aktivity inštaluje backdoor komponent a dokáže infikovať spustiteľné (PE EXE) súbory.

Win32/Bagle.M (... alias Win32/Bagle.N alebo Win32/Beagle.N)
... tento počítačový červ sa šíri medzi používateľmi vo forme emailových správ, ktorých adresa uvedená v položke odosielateľa je vytváraná podľa nasledujúcej šablóny: "management / administration / staff/ noreply / support@[názov lokálnej domény prijímateľa emailu]". Textové informácie tvoriace predmet a obsah emailovej správy sú náhodne vyberané a kombinované z početnej množiny anglických slov a fráz uložených v kóde červa (... vzhľadom na ich veľký počet jednotlivé možnosti vypisovať nebudeme – pozri ukážku: č.1 / č.2 / č.3). Súčasťou každej takejto emailovej správy môže byť priložený súbor s variabilným názvom (napríklad: "ATTACH / DETAILS / ENCRYPTED / MESSAGE / INFO / INFORMATION / MORE INFO / ... / README / TEXTDOCUMENT") a príponou: .PIF alebo archív RAR, prípadne ZIP (... obsah archívu je chránený heslom). Heslo umožňujúce otvoriť priložený archív a aktivovať v ňom obsiahnutý súbor s náhodne vytvoreným názvom a príponou .EXE je súčasťou prijatej emailovej správy, vo forme len ťažko prehliadnuteľnej číselnej kombinácie umiestnenej na malom obrázku. Veľkosť spustiteľného súboru obsahujúceho výkonný kód samotného červa môže byť 20 až 22 kB, nakoľko červ na koniec svojho kódu dokáže pripájať náhodne vygenerované dáta. Pre minimalizáciu veľkosti výsledného súboru bola navyše použitá interná kompresia jeho kódu za pomoci nástroja UPX.

K aktivácii červa môže dôjsť len na priamy podnet zo strany používateľa. Ten môže aktivovať buď priložený – spustiteľný súbor tvoriaci súčasť emailovej správy alebo musí najprv pomocou priloženého hesla otvoriť RAR alebo ZIP archív a následne aktivovať v ňom obsiahnutý spustiteľný súbor. Červ si po svojom aktivovaní overí aktuálny systémový dátum, pričom ak pri tejto kontrole zistí, že je dátum rovný 31.12.2005 alebo akémukoľvek neskoršiemu dňu automaticky ukončí svoju činnosť. V opačnom prípade sa červ pokúsi uložiť do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP, ?:\WINNT\System32 pri OS MS Windows NT/200x) niekoľko nových súborov:

  • WINUPD.EXE ... predstavuje výkonný kód samotného červa,


  • WINUPD.EXEOPEN ... ide o záložnú kópiu výkonného kódu červa,


  • WINUPD.EXEOPENOPEN ... ide o kópiu červa, prípadne zaheslovaný RAR/ZIP archív obsahujúci červa,


  • WINUPD.EXEOPENOPENOPEN ... obrázok obsahujúci číselnú kombináciu pre prístup do spomenutého RAR/ZIP archívu, chráneného heslom.

Následne doplní do systémových registrov novú hodnotu, prostredníctvom ktorej bude dochádzať k pravidelnej aktivácii jeho výkonného kódu pri každom štarte OS MS Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... winupd.exe = [cesta k systémovému adresáru OS]\winupd.exe


Ďalej červ v operačnej pamäti vyhľadá aktívne procesy, ktoré patria početnej množine vybraných AV-systémov a bezpečnostných programov, prípadne aplikáciám typu REGEDIT a NETSTAT. Identifikované procesy sa červ snaží okamžite ukončiť, čím chráni seba samého pred priamym odhalením. Navyše sa pokúša odstrániť vybrané hodnoty obsiahnuté v rámci systémových registrov. Počas svojej činnosti červ aktivuje v infikovanom systéme aj backdoor komponent (... na TCP porte 2556), ktorý očakáva príkazy od vzdialeného útočníka. Týmto spôsobom by sa mohli dať neautorizovane preniesť do infikovaného systému a aktivovať dáta obsahujúce inovovanú verziu emailového červa Win32/Bagle alebo iného škodlivého kódu.
Okrem spomenutých činností červ v infikovanom systéme vyhľadáva adresáre, ktoré obsahujú vo svojom názve reťazec "shar" a ukladá do nich kópie svojho tela pod variabilnými názvami (napríklad: "WINAMP 6 NEW!.EXE / AHEAD NERO 7.EXE / OPERA 8 NEW!.EXE". To je dôvod prečo sa tento červ dokáže šíriť aj prostredníctvom aplikácií slúžiacich pre vzájomné zdieľanie dát (... ako sú iMesh, KaZaA a iné).

Tak ako všetky emailové červy aj Win32/Bagle.M sa pokúša vyhľadávať na diskoch súbory s príponami .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WAB, .WSH, .XLS a .XML. Z ich obsahu získava nové emailové adresy, na ktoré priebežne rozposiela automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami) a priloženým súborom obsahujúcim jeho výkonný kód. Všetky tieto správy vznikajú za použitia integrovanej MIME rutiny priamo v operačnej pamäti, pričom k ich rozposielaniu červ taktiež využíva vlastnú – integrovanú SMTP rutinu.

Najväčšie nebezpečenstvo tohto emailového červa spočíva v tom, že počas svojej aktivity dokáže vyhľadávať a infikovať spustiteľné súbory, s príponou .EXE. Na ich koniec pripája svoje telo v zakódovanej podobe, pričom modifikuje aj tzv. Entry Point každého infikovaného súboru. Vďaka tejto úprave sa pri spustení ktoréhokoľvek infikovaného súboru najprv rozkóduje a aktivuje výkonný kód červa a následne spustí požadovaný kód tvoriaci daný súbor. Liečenie takto infikovaných súborov žiaľ toho času zvládajú len niektoré kvalitnejšie AV-systémy.

Na záver tohto popisu sa oplatí ešte spomenúť, že pri detailnej analýze červa Win32/Bagle.M sa podarilo v jeho kóde objaviť obrázok motýľa, ktorý je vytvorený pomocou klasických ASCII znakov (... pozri ukážku).

Win32/Bagle.N (... doplnené dňa 17.3.2004)
... vzhľadom na to, že sa nový variant počítačového červa Win32/Bagle.M objavil počas víkendu vznikla v jeho označovaní medzi jednotlivými AV-spoločnosťami istá nejednotnosť. Všeobecne teda platí, že Win32/Bagle.M a Win32/Bagle.N predstavujú jeden a ten istý počítačový červ, ktorému AV-spoločnosti priradili zhodou náhod iné označenie na úrovni konkrétneho variantu.

Win32/Bagle.O (... alias Win32/Bagle.P alebo Win32/Beagle.P)
... predstavuje mierne modifikovaný variant počítačového červa Win32/Bagle.M. Medzi používateľmi sa šíri vo forme emailových správ, ktoré majú vo svojom predmete i obsahu uvedené variabilné anglické informácie a ako prílohu obsahujú spustiteľný súbor s príponou .PIF, alebo heslom chránený archív typu RAR, prípadne ZIP. Pre prístup do priloženého archívu je potrebné použiť heslo, ktoré červ pripája k emailovej správe vo forme malého obrázku. Červ sa navyše dokáže šíriť aj prostredníctvom vybraných adresárov dostupných v rámci lokálnej sieti a adresárov používaných (... aplikáciami ako sú: iMesh, KaZaA a iné) za účelom vzájomné zdieľania dát medzi účastníkmi Peer-to-Peer sietí.

Najpodstatnejší rozdiel v porovnaní s predchádzajúcim variantom spočíva v tom, že výkonný kód červa Win32/Bagle.O môže mať variabilnú veľkosť, ktorá sa pohybuje od 44 do 45 kB. Táto variabilita veľkosti je spôsobená tým, že červ na koniec svojho kódu dokáže pripájať náhodne vygenerované dáta. Pre minimalizáciu veľkosti výsledného súboru bola navyše použitá interná kompresia jeho kódu za pomoci nástroja UPX.
Pri tomto variante navyše zostala zachovaná aj nebezpečná funkcia, ktorá tomuto červovi umožňuje vyhľadávať a infikovať spustiteľné súbory, s príponou .EXE, uložené na pevných diskoch. Na koniec každého spustiteľného súboru červ pripája svoje telo v zakódovanej podobe (... dekryptovacia rutina sa čiastočne líši od tej, ktorá bola použitá pri predchádzajúcom variante), pričom modifikuje aj jeho tzv. Entry Point. Vďaka tejto úprave sa pri spustení ktoréhokoľvek infikovaného súboru najprv rozkóduje a aktivuje výkonný kód červa a až následne spustí požadovaný kód tvoriaci daný súbor.

Všetky ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante nazvanom Win32/Bagle.M (... alias Win32/Bagle.N).

Win32/Bagle.Q (... doplnené dňa 18.3.2004)
... tento červ sa šíri medzi používateľmi prostredníctvom emailových práv, ktoré sú vygenerované vo formáte HTML (... v ich obsahu sa nenachádza žiaden viditeľný text – pozri ukážku) a neobsahujú žiadnu prílohu! Namiesto prílohy sa v HTML kóde, ktorý tvorí obsah správy nachádza špeciálny skript kód. K jeho aktivácii dochádza pri zobrazení emailovej správy. Tento skript kód sa snaží na nezabezpečených systémoch využiť bezpečnostnú dieru Object Tag vulnerability, ktorá bola objavená počas minulého roka v jadre aplikácie MS Internet Explorer. Táto bezpečnostná diera umožňuje aktivovať skript kód integrovaný do obsahu prijatej emailovej správy, ktorý sa dokáže pripojiť k vzdialenému systému, stiahnuť z neho súbor a bez vedomia používateľa ho uložiť a aktivovať v jeho systéme.

V prípade červa Win32/Bagle.Q sa pri zobrazení prijatej "infikovanej" emailovej správy vyexportuje na pevný disk počítača súbor nazvaný Q.VBS a aktivuje v ňom obsiahnutý skript kód. Ten sa pokúsi pripojiť k jednému z vyše 590 možných vzdialených systémov, z ktorého sa snaží získať súbor nazvaný SM.EXE. Tento súbor sa po uložení na disk dokáže, vďaka vyššie spomenutej bezpečnostnej diere, automaticky aktivovať, čím sa vlastne do systému integruje samotný červ Win32/Bagle.Q.

Červ Win32/Bagle.Q po svojej aktivácii uloží kópie svojho výkonného kódu do systémového adresára OS MS Windows, konkrétne do súborov nazvaných DIRECTS.EXE a DIRECTS.EXEOPEN. Zároveň do systémových registrov doplní odkaz na prvý z uvedených súborov, čoho výsledkom je jeho pravidelná aktivácia pri každom ďalšom štarte OS MS Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... directs.exe = [cesta k systémovému adresáru OS]\directs.exe


Ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri variantoch Win32/Bagle.O a Win32/Bagle.M. Navyše však v jeho kóde pribudla ešte rutina, ktorá dokáže v infikovanom systéme aktivovať primitívny HTTP server (... na porte 81), ktorý môže slúžiť pre ďalšie šírenie červa.

Win32/Bagle.R - .T
... v priebehu dňa 18.3.2004 sa podarilo AV-spoločnostiam identifikovať v rámci sieti Internet niekoľko ďalších variantov emailového červa Win32/Bagle. Všetky tieto varianty fungujú v podstate rovnako ako ich predchodca – červ Win32/Bagle.Q, pričom rozdiely medzi nimi spočívajú len z odlišných názvoch súborov, ktoré pri svojej činnosti vytvárajú na pevnom disku infikovaného systému.

Vychádzajúc zo štatistík dostupných na slovenských i zahraničných emailových serveroch sa dá predpokladať, že by sa emailové červy Win32/Bagle.M - .T mohli výraznejšie rozšíriť medzi používateľmi v priebehu nasledujúcich dní. Všetkým používateľom preto odporúčame, aby čím skôr vykonali aktualizáciu používaného AV-systému a boli opatrnejší pri práci s novými emailovými správami a ich klasickými i komprimovanými prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo vyššie popisované červy aktivovať vo svojom systéme ponúkame jednoúčelové AV-programy určené pre ich identifikáciu, elimináciu i liečenie nimi infikovaných súborov – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.


P.S.: Vzhľadom na to, že novoobjavené varianty emailového červa Win32/Bagle využívajú pri svojom šírení bezpečnostnú dieru aplikácie MS Internet Explorer odporúčame používateľom vykonať okrem aktualizácie AV-systémov aj nevyhnutnú aktualizáciu OS MS Windows – najlepšie prostredníctvom aktualizačného servera Microsoft Windows Update.



Súvisiace články:
28.04.2004  Win32/Bagle.Z - Popisy vírusov
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
01.03.2004  Win32/Bagle.C - .E, .H - Popisy vírusov
17.02.2004  Win32/Bagle.B - Popisy vírusov
19.01.2004  Win32/Bagle.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.