Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
26.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.U & .V  (aktualizované dňa 29.3.2004)

Dnes v ranných hodinách sa podarilo AV-spoločnostiam identifikovať v rámci počítačovej siete Internet nový variant emailového červa Win32/Bagle, ktorý dostal označenie Win32/Bagle.U. Tento červ sa aktuálne masovo šíri medzi používateľmi prostredníctvom emailových správ, ktoré vo svojom predmete a taktiež obsahu nemajú uvedené žiadne textové informácie. Jedinou súčasťou týchto správ (... ktorých adresa odosielateľa je podstrčená) je priložený, spustiteľný súbor s variabilným názvom a príponou .EXE. Veľkosť priloženého súboru je 8208 bajtov, pričom na niektorých systémoch sa pri ňom zobrazuje ikona čiernych, ručičkových hodiniek (... pozri obrázok). Súčasťou červa je aj malý – integrovaný backdoor komponent... .

Win32/Bagle.U (... alias Win32/Bagle.S)
... predstavuje počítačový červ, ktorý bol vytvorený v jazyku Visual C, pričom jeho výsledný kód bol interne komprimovaný za použitia nástroja FSG. Tento červ sa šíri medzi používateľmi prostredníctvom emailových správ, ktoré neobsahujú vo svojom predmete, ani obsahu žiadne textové informácie (... pozri ukážku). Súčasťou masovo rozposielaných emailových správ je priložený súbor s náhodne generovaným názvom a príponou .EXE (... veľkosť tohto súboru je 8208 bajtov v komprimovanej a približne 50 kB v nekomprimovanej podobe).

K aktivácii priloženého súboru môže dôjsť výlučne na priamy podnet zo strany používateľa. V takomto prípade si červ najprv skontroluje systémový dátum a pokiaľ zistí, že je rovný 1. januáru 2005 alebo akémukoľvek neskoršiemu dňu ukončí svoju činnosť a počítač neinfikuje. V opačnom prípade dôjde k spusteniu počítačovej hry Microsoft Hearts, ktorá je súčasťou OS MS Windows a má dočasne odviesť pozornosť používateľa. Na pozadí sa červ pokúsi prekopírovať svoje telo do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP alebo ?:\WINNT\System32 pri OS MS Windows NT/200x), kde ho uloží do novo vytvoreného súboru nazvaného GIGABIT.EXE. Následne dôjde k doplneniu niekoľkých nových hodnôt do systémových registrov, pričom jednou z nich si červ zabezpečí pravidelnú aktiváciu vyššie uvedeného spustiteľného súboru pri každom štarte počítača.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... gigabit.exe = [cesta k systémovému adresáru OS]\gigabit.exe

HKEY_CURRENT_USER\Software\Windows2004
... fr1n = 1
... gsed = [náhodný reťazec číslic]


V ďalšej fáze červ skontroluje či je infikovaný počítač pripojený k sieti Internet. V prípade získania kladnej odpovede sa pokúsi pripojiť na web server Werde.de, kde prostredníctvom pripraveného PHP skriptu poskytne svojmu tvorcovi informácie o novo infikovanom počítačovom systéme (t.j. jeho IP adresu a niektoré ďalšie údaje). Počas svojej činnosti červ navyše aktivuje v počítači aj backdoor komponent (... na TCP porte 4751), ktorý očakáva príkazy od vzdialeného útočníka. Týmto spôsobom sa podľa predbežných zistení dajú neautorizovane preniesť do infikovaného systému a aktivovať dáta obsahujúce inovovanú verziu emailového červa Win32/Bagle alebo iného škodlivého kódu.

Poslednou známou aktivitou tohto červa je jeho snaha vyhľadávať na pevných diskoch súbory s príponami: .WAB, .TXT, .MSG, .HTM, .SHTM, .STM, .XML, .DBX, .MBX, .MDX, .EML, .NCH, .MMF, .ODS, .CFG, .ASP, .PHP, .PL, .WSH, .ADB, .TBB, .SHT, .XLS, .OFT, .UIN, .CGI, .MHT, .DHTM a .JSP. V ich obsahu hľadá nové emailové adresy, na ktoré neskôr pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Červ pri vytváraní emailových správ "falšuje" emailovú adresu odosielateľa, čím sa snaží zabrániť identifikácii infikovaných počítačových systémov.

Win32/Bagle.V (... doplnené dňa 29.3.2004)
... v priebehu dnešného dňa sa začal prostredníctvom Internetu dosť intenzívne šíriť červ Win32/Bagle.V, ktorý predstavuje modifikovaný variant červa Win32/Bagle.U. Medzi používateľmi sa šíri ako emailová správa, ktorá neobsahuje vo svojom predmete a obsahu žiadne textové informácie (... pozri ukážku). Jej súčasťou je len priložený, spustiteľný súbor nazvaný GAME.EXE s veľkosťou 8208 bajtov a ikonou pripomínajúcou injekčnú striekačku (... pozri obrázok). V rámci tohto modifikovaného variantu došlo len k minimálnym zmenám. Prvou z nich je zmena názvu súboru, ktorý červ pri svojej aktivácii vytvára v systémovom adresári OS MS Windows – konkrétne sa jedná o súbor nazvaný SYSINFO.EXE. Druhou zmenou je nutná modifikácia hodnoty v rámci systémových registrov, ktorá zabezpečuje pravidelnú aktiváciu výkonného kódu červa pri každom štarte OS.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... sysinfo.exe = [cesta k systémovému adresáru OS]\sysinfo.exe


Všetky ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante nazvanom Win32/Bagle.U (... alias Win32/Bagle.S).

Na základe štatistík dostupných na slovenských i zahraničných emailových serveroch je možné sledovať výrazné rozšírenie červov Win32/Bagle.U & .V v celosvetovom meradle. Používateľom preto odporúčame, aby urýchlene vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov alebo niektorý z jeho predchádzajúcich variantov ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
28.04.2004  Win32/Bagle.Z - Popisy vírusov
15.03.2004  Win32/Bagle.M - .T - Popisy vírusov
01.03.2004  Win32/Bagle.C - .E, .H - Popisy vírusov
17.02.2004  Win32/Bagle.B - Popisy vírusov
19.01.2004  Win32/Bagle.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.