Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
24.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Netsky.P  (alias Win32/Netsky.Q)

Detailnejšie informácie o novom variante emailového červa Win32/Netsky zverejnili AV-spoločnosti na svojich web stránkach už v priebehu predchádzajúcich dvoch dní, pričom až včera bolo možné pozorovať výraznejší vzostup aktivity červa Win32/Netsky.P, ako na Slovensku, tak aj v iných krajinách. Tento červ sa šíri prostredníctvom emailových správ, ktoré obsahujú "falošnú" adresu odosielateľa, vo svojom predmete i obsahu majú uvedený stručný anglický text a ako prílohu obsahujú spustiteľný súbor, prípadne ZIP archív. Na starších systémoch sa červ dokáže aktivovať (... vďaka bezpečnostnej chybe v rámci aplikácie MS Internet Explorer) automaticky už pri zobrazení/čítaní prijatej emailovej správy. Počas svojej aktivity vyhľadáva množstvo nových emailových adries, na ktoré rozposiela svoje kópie a snaží sa šíriť aj prostredníctvom sieťovo zdieľaných diskov, resp. adresárov obsahujúcich zdieľané dáta používané pri práci s aplikáciami umožňujúcimi prístup do Peer-to-Peer sietí.

Počítačový červ Win32/Netsky.P (... alias Win32/Netsky.Q) bol vytvorený v programovacom jazyku Visual C++ 6.0, pričom jeho výsledný kód bol dodatočne interne komprimovaný za použitia nástroja FSG. Na rozdiel od svojich predchodcov prešiel tento variant červa niekoľkými drobnými úpravami. Medzi používateľmi sa šíri prostredníctvom emailových správ obsahujúcich falošnú adresu odosielateľa. Pre tieto správy sú príznačné textové informácie uvedené v ich predmete: "Re: Encrypted Mail / Re: Extended Mail / Re: Status / Re: Notify / Re: SMTP Server / Re: Test / Re: Administration / Re: Message Error / Re: Error / ... / Re: Mail Authentification / Mail Delivery (failure [podstrčená emailová adresa]) / Here / Hi / Hello / Thanks! / Patched / Important / Read it immediatly" a obsahu: "Please see the attached file for details. / Please read the attached file! / Your document is attached. / Please read the document. / Please confirm the document. / Please read the important document. / See the file. / ... / Your document is attached to this mail. / I have attached your document. / Your document. / You got a new message. / New message is available." (... pozri ukážku: č.1 / č.2 / č.3 / č.4). V niektorých prípadoch červ na koniec rozposielaných správ pripája falošnú informáciu o tom, že priložený súbor bol prekontrolovaný niektorým z popredných, resp. medzi používateľmi dobre známym AV-systémom – v tvare:

+++ Attachment: No Virus found
+++ [názov vybraného AV-systému] - [odkaz na web stránky AV-spoločnosti]


Súčasťou každej správy je aj priložený súbor s variabilným názvom (napríklad: "MESSAGE / MSG / DETAILS / DATA / DOCUMENT / README / WEBSITES03 / GAME_XXO"), ktorý môže obsahovať len jednu príponu (napríklad: .PIF / .SCR / .EXE) alebo môže mať príponu zdvojenú (napríklad: .TXT.EXE / .TXT.SCR / ... / .DOC.EXE / .DOC.PIF). V prípade použitia zdvojenej prípony nasleduje za prvou z nich niekoľko medzier, čo má za následok vytlačenie druhej prípony za viditeľnú oblasť poľa slúžiaceho pre zobrazenie úplného názvu priloženého súboru. Veľkosť takéhoto súboru je 29 568 bajtov. Prílohu masovo rozposielaných emailových správ môže navyše tvoriť aj ZIP archív, ktorý v sebe ukrýva opäť spustiteľný súbor obsahujúci výkonný kód červa.

Vzhľadom na to, že emailové správy generované týmto červom obsahujú špeciálne upravený kód, môže dôjsť k aktivácii priloženého súboru už pri zobrazení/čítaní daného emailu (... tento stav sa samozrejme týka len tých počítačov, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu eliminujúcu chybu známu ako "Incorrect MIME Header"). Na ostatných systémoch je aktivácia priloženého súboru závislá od rozhodnutia používateľa. V prípade aktivácie priloženého súboru sa pokúsi červ uložiť kópiu svojho tela vo forme súboru FVProtect.EXE (29 568 bajtov) do hlavného adresára OS MS Windows. Následne z tohto súboru vyexportuje ešte súbor nazvaný USERCONFIG9x.DLL (26 624 bajtov). Popri týchto súboroch červ vytvorí v hlavnom adresári OS ešte ďalšie súbory obsahujúce jeho výkonný kód vo formáte určenom pre import do masovo rozposielaných emailových správ (... jedná sa konkrétne o súbory: BASE64.TMP, ZIP1.TMP, ZIP2.TMP, ZIP3.TMP a ZIPPED.TMP). Počiatočná fáza integrácie červa do systému je zakončená doplnením novej hodnoty do systémových registrov, ktorá sa postará o pravidelnú aktiváciu jeho výkonného kódu pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... Norton Antivirus AV = [cesta k hlavnému adresáru OS]\FVProtect.exe


Ďalej sa červ pokúša v systémových registroch vyhľadávať a automaticky odstraňovať vybrané hodnoty, ktoré do nich zapisujú iné škodlivé kódy. Konkrétne zasahuje do registrov na úrovni nasledujúcich kľúčov:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32


Počas svojej aktivity sa červ pokúša prehľadávať všetky pevné disky a lokalizovať na nich adresáre, ktoré vo svojom názve obsahujú reťazec znakov: "Bear / Donkey / Download / FTP / HTDOCS / HTTP / ICQ / KaZaA / Mopheus / Mule / ... / Shar / Shared Files / Upload". V prípade, že nájde vyhovujúci adresár uloží doňho jednu alebo viacero svojich kópií vo forme spustiteľných súborov, ktorých názvy vytvára na základe predefinovanej množiny slov (napríklad: "DOOM 3 RELEASE 2.EXE / GIMP 1.8 FULL WITH KEY.EXE / ... / NETSKY SOURCE CODE.SCR / OPERA 11.EXE / WIN LONGHORN RE.EXE"). Takto vytvorené kópie červa sa občas môžu uložiť aj do sieťovo zdieľaných adresárov v lokálnej počítačovej siete, prípadne do adresárov obsahujúcich dáta určené pre zdieľanie v rámci Peer-to-Peer sietí (... vďaka čomu sa červ dokáže šíriť medzi ďalších používateľov).

Poslednou známou aktivitou tohto červa je jeho snaha vyhľadávať na pevných diskoch v rozsahu C: až Z: (... okrem CD/DVD mechaník) súbory s príponami: .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MSG, .OFT, .PHP, .PL, .RTF, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WAB, .WSH A .XML. V ich obsahu hľadá nové emailové adresy, na ktoré neskôr pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Červ pri vytváraní emailových správ "falšuje" emailovú adresu odosielateľa, čím sa snaží zabrániť identifikácii infikovaných počítačových systémov. Pri tomto procese sa červ doslova vystríha využitiu takých emailových adries, ktoré patria AV-spoločnostiam.

Ako sme už spomenuli v úvode, aj tento variant červa Win32/Netsky obsahuje vo svojom kóde skrytý odkaz určený pre konkurenciu – presnejšie povedané pre tvorcu/tvorcov červa Win32/Bagle. Prvý z dostupných textových reťazcov sa nachádza uložený v spustiteľnom súbore používanom pri šírení červa, pričom samotný odkaz je súčasťou DLL knižnice vyexportovanej na disk systému až po aktivácii červa – tu je konkrétna ukážka:

U'l't'i'm'a't'i'v'e 'E'n'c'r'y'p't'e'd 'W'o'r'm'D'r'o'p'p'e'r' 'b'y 'S'k'y'N'e't'.'C'Z' 'C'o'r'p*' 'D'r'o'p'p'e'd'S'k'y'N'e't' 'S'k'y'N'e't'F'i'g'h't's'B'a'c'k

Bagle, do not delete SkyNet. You fucked bitch! Wanna go into a prison? We are the only AntiVirus, not Bagle, shut up and take your butterfly! - Message from SkyNet AVTeam Lets join an alli-A-n-C-e-,bagle!


Podľa štatistík zverejnených a priebežne aktualizovaných na serveri AV-spoločnosti F-Secure a tiež štatistík zostavovaných vybranými prevádzkovateľmi slovenských a českých emailových serverov je možné sledovať výraznejšie rozšírenie červa Win32/Netsky.P v celosvetovom meradle. Používateľom preto odporúčame, aby urýchlene vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme vyššie uvedený červ alebo niektorý z jeho predchádzajúcich variantov ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
21.04.2004  Win32/Netsky.X - .Z - Popisy vírusov
30.03.2004  Win32/Netsky.Q, .T, .U - Popisy vírusov
01.03.2004  Win32/Netsky.D & .E - Popisy vírusov
18.02.2004  Win32/Netsky.B & .C - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.