Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
30.03.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Netsky.Q, .T, .U  (aktualizované dňa 8.4.2004)

Pomyseľná vojna medzi tvorcami červov Win32/Bagle a Win32/Netsky pokračuje, pričom na ňu v konečnom dôsledku doplácajú najmä používatelia počítačov a služieb siete Internet. Presne tak, ako pred týždňom aj teraz sa podarilo AV-spoločnostiam identifikovať nový červ Win32/Netsky.Q, ktorý sa objavil síce už v nedeľu, no svoju najvyššiu aktivitu dosahuje v týchto dňoch. Tento červ sa šíri prostredníctvom emailových správ, ktoré na prvý pohľad vyzerajú ako chybové hlásenie zasielané emailovým serverom. Avšak ich súčasťou je priložený, spustiteľný súbor (... prípadne ZIP archív), k aktivácii ktorého môže dôjsť (... vďaka bezpečnostnej chybe v aplikácii MS Internet Explorer) automaticky už pri zobrazení/čítaní prijatej emailovej správy. Červ počas svojej aktivity vyhľadáva v infikovanom systéme nové emailové adresy, na ktoré rozposiela svoje kópie. Vykonáva tiež zmeny v systémových registroch, ktorými sa snaží "paralyzovať" aktivitu konkurenčných škodlivých kódov a v čase od 8. do 11. apríla 2004 uskutočňuje DoS (Denial of Service) útok proti pätici predefinovaných web serverov.

Win32/Netsky.Q (... alias Win32/Netsky.R)
... predstavuje počítačový červ, ktorý bol vytvorený v programovacom jazyku Visual C++ 6.0, pričom jeho výsledný kód bol dodatočne interne komprimovaný za použitia nástroja Petite. Na rozdiel od svojich predchodcov prešiel tento variant niekoľkými výraznejšími úpravami. Medzi používateľmi sa šíri prostredníctvom emailových správ obsahujúcich falošnú adresu odosielateľa. Pre tieto správy sú príznačné textové informácie uvedené v ich predmete: "Deliver Mail / Delivered Message / Delivery / Delivery Failure / Error / ... / Mail Delivery failure / Mail Delivery System / Server Error / Status ([emailová adresa prijímateľa správy])". Telo emailovej správy obsahuje náhodne vygenerované informácie napísané v anglickom jazyku, ktoré u neskúsených používateľov môžu vyvolať dojem, že došlo k istým problémom pri prijímaní správy (... vzhľadom na variabilitu jednotlivé možnosti vypisovať nebudeme – pozri ukážku: č.1 / č.2). Súčasťou správy je aj priložený súbor s variabilným názvom, ktorý červ vytvára podľa šablóny: [názov súboru][náhodný počet čísel].[prípona PIF alebo ZIP] – výsledkom sú súbory s názvami napríklad: MESSAGE.PIF, DATA31101.ZIP, MAIL.PIF alebo MSG31786.ZIP. Veľkosť priloženého súboru je približne 28 kB. V prípade, ak prílohu správy tvorí archív typu ZIP, tak v jeho obsahu sa vzdy nachádza súbor so zdvojenou príponou: "DATA / MAIL / MESSAGE / MSG.EML[100 medzier].SCR", ktorý obsahuje samotný výkonný kód červa.

Vzhľadom na to, že emailové správy generované týmto červom obsahujú špeciálne upravený kód, môže dôjsť k aktivácii priloženého súboru už pri zobrazení/čítaní daného emailu. Tento stav sa týka však len tých počítačov, ktoré ešte stále nemajú nainštalovanú (... v aplikácii MS Internet Explorer) bezpečnostnú záplatu odstraňujúcu chybu známu ako "Incorrect MIME Header". Na ostatných systémoch je aktivácia priloženého súboru závislá od rozhodnutia samotného používateľa. V prípade aktivácie priloženého súboru červ uloží kópiu svojho tela vo forme súboru SYSMONXP.EXE (28 008 bajtov) do hlavného adresára OS MS Windows. Následne z tohto súboru vyexportuje na pevný disk súbor nazvaný FIREWALLLOGGER.TXT (23 040 bajtov), ktorý hoci má príponu .TXT predstavuje klasickú DLL knižnicu potrebnú pre ďalšiu činnosť červa. Pri počiatočnej integrácii červa do systému môže dôjsť k zobrazeniu aplikácie NOTEPAD.EXE (tzv. Poznámkový blok) so snahou otvoriť neexistujúci súbor TEMP.EML (... pozri obrázok) a k doplneniu novej hodnoty do systémových registrov, ktorá sa postará o pravidelnú aktiváciu výkonného kódu červa pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... SysMonXP = [cesta k hlavnému adresáru OS]\SysMonXP.exe


Okrem vyššie spomenutých súborov sa červ snaží v hlavnom adresári OS vytvoriť ešte ďalšie súbory obsahujúce jeho výkonný kód vo formáte určenom pre import do rozposielaných emailových správ (... jedná sa konkrétne o súbory: BASE64.TMP, ZIPO0.TXT, ZIPO1.TXT, ZIPO2.TXT, ZIPO3.TXT a ZIPPEDBASE64.TMP). Pokúša sa tiež vyhľadávať a automaticky odstraňovať zo systémových registroch niektoré hodnoty, ktoré do nich zapisujú iné škodlivé kódy (t.j. Win32/Mydoom.A, Win32/Mydoom.B, Win32/Mimail.T a niektoré varianty červa Win32/Bagle). Konkrétne červ zasahuje do registrov na úrovni nasledujúcich kľúčov:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32


Ďalšou z aktivít tohto červa je jeho snaha identifikovať na pevných diskoch v rozsahu C: až Z: (... okrem CD/DVD mechaník) súbory s viac ako 30-timi predurčenými príponami, v obsahu ktorých hľadá nové emailové adresy. Na získané adresy neskôr červ pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Pri vytváraní jednotlivých emailových správ dochádza k "falšovaniu" emailovej adresy odosielateľa, čím sa červ snaží zabrániť identifikácii infikovaných počítačov. Pri tomto procese sa navyše červ vyhýba použitiu takých emailových adries, ktoré patria AV-spoločnostiam.

Poslednou známou aktivitou, ktorú vykonáva červ Win32/Netsky.Q v čase od 8.4. do 11.4.2004 je DoS útok proti web serverom – edonkey2000.com, kazaa.com, emule-project.net, cracks.am a cracks.st.

Detailná analýza tohto červa navyše odhalila v jeho kóde skrytú správu, ktorá sa za bežných podmienok nikdy nezobrazuje. Jej obsah predstavuje podľa všetkého odkaz, ktorým sa tvorcovia červa snažia svojim spôsobom "ospravedlniť" za to čo robia – tu je konkrétna ukážka:

We are the only SkyNet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.
We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don't prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...

- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -


Win32/Netsky.T (... doplnené dňa 8.4.2004)
... v posledných dvoch dňoch je možné sledovať dosť výrazný nárast aktivity tohto emailového červa a tak je vhodné zverejniť o ňom aspoň tie najzákladnejšie informácie, vrátane jednoúčelových AV-programov určených pre jeho rýchlu a jednoduchú elimináciu (... dostupné sú prostredníctvom odkazu v závere tohto popisu). Červ Win32/Netsky.T funguje veľmi podobne ako väčšina jeho predchodcov, hoci vo svojom kóde obsahuje niekoľko úprav a zmien. Medzi používateľmi sa šíri prostredníctvom emailových správ, ktorých adresa odosielateľa je falošná a predmet i obsah tvoria náhodne skombinované anglické slová a frázy (... vzhľadom na variabilitu jednotlivé možnosti vypisovať nebudeme – pozri ukážku: č.1 / č.2 / č.3). Súčasťou každej správy je aj priložený súbor s variabilným názvom, ktorý červ vytvára podľa šablóny: [názov súboru][náhodné číslo].PIF. Veľkosť priloženého súboru je 18 432 bajtov, pričom výkonný kód červ je interne komprimovaný za použitia nástroja UPX.

K aktivácii priloženého súboru môže dôjsť len na priamy podnet zo strany používateľa. Ak sa tak stane, červ sa pokúsi uložiť svoj výkonný kód do hlavného adresára OS MS Windows, do súboru nazvaného EASYAV.EXE. Zároveň v identickom adresári vytvorí aj súbor UINMZERTINMDS.OPM, ktorý obsahuje telo červa vo formáte MIME (t.j. určenom pre priamu integráciu do masovo rozposielaných emailových správ) a doplní do systémových registrov hodnotu, ktorá umožní vykonávať automatickú aktiváciu tela červa pri každom ďalšom štarte OS.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... EasyAV = [cesta k hlavnému adresáru OS]\EasyAV.exe


Ďalej tento červ v infikovanom systéme aktivuje jednoduchý backdoor komponent, ktorý na sieťovom porte TCP 6789 očakáva príkazy vzdialeného útočníka. Týmto spôsobom sa podľa doterajších zistení dajú neautorizovane preniesť do infikovaného systému a aktivovať dáta obsahujúce inovovanú verziu akéhokoľvek emailového červa alebo iného škodlivého kódu. Počas aktivity červa Win32/Netsky.T dochádza rovnako ako pri predchádzajúcom variante Win32/Netsky.Q k vyhľadávaniu vopred preddefinovaných súborov, z ktorých sa červ snaží získavať nové emailové adresy. Na získané adresy neskôr pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Pri vytváraní jednotlivých emailových správ dochádza k "falšovaniu" emailovej adresy odosielateľa, čím sa červ snaží zabrániť identifikácii infikovaných počítačov. Povšimnutia hodné pri tomto procese je navyše to, že červ v čase od 14. do 16. apríla 2004 nerozposiela automaticky generované emailové správy. Namiesto toho však od 14. do 23. apríla 2004 vykonáva DoS útok proti web serverom – cracks.com, emule.com, kazaa.com, freemule.net a keygen.us.

Win32/Netsky.U (... alias Win32/Netsky.V)
... v priebehu dnešného dňa AV-spoločnosti identifikovali v sieti Internet ďalší variant červa Win32/Netsky, ktorý je dôkazom toho, že mnohé škodlivé kódy vznikajú minimálnou modifikáciou svojich predchodcov (... v tomto prípade sa jedná o miernu modifikáciu červa Win32/Netsky.T). Tento červ sa šíri prostredníctvom automaticky generovaných emailových správ obsahujúcich falošnú adresu odosielateľa a náhodne vytvorené anglické slová a frázy tvoriace predmet i obsah správy (... vzhľadom na variabilitu jednotlivé možnosti vypisovať nebudeme – pozri ukážku: č.1 / č.2 / č.3). Súčasťou každej správy je priložený súbor s variabilným názvom, ktorý červ vytvára podľa šablóny: [názov súboru].PIF. Veľkosť priloženého súboru je 18 432 bajtov, pričom výkonný kód červ je interne komprimovaný za použitia nástroja UPX.

K aktivácii priloženého súboru môže opäť dôjsť výlučne na priamy podnet zo strany používateľa. Ak sa tak stane, červ sa pokúsi uložiť svoj výkonný kód do hlavného adresára OS MS Windows, do súboru nazvaného SYMAV.EXE. Zároveň v identickom adresári vytvorí aj súbor FUCK_YOU_BAGLE.TXT, ktorý obsahuje telo červa vo formáte MIME (t.j. určenom pre priamu integráciu do masovo rozposielaných emailových správ) a doplní do systémových registrov hodnotu, ktorá umožní vykonávať automatickú aktiváciu tela červa pri každom ďalšom štarte OS.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... SymAV = [cesta k hlavnému adresáru OS]\SymAV.exe


Všetky ostatné aktivity tohto červa korešpondujú s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante nazvanom Win32/Netsky.T, resp. Win32/Netsky.Q.

Podľa priebežne aktualizovaných štatistík na serveri AV-spoločnosti F-Secure a štatistík zostavovaných vybranými prevádzkovateľmi slovenských i českých emailových serverov je možné sledovať výraznejšie rozšírenie červov Win32/Netsky.Q - .U v celosvetovom meradle. Používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov alebo niektorý z ich predchádzajúcich variantov ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
21.04.2004  Win32/Netsky.X - .Z - Popisy vírusov
24.03.2004  Win32/Netsky.P - Popisy vírusov
01.03.2004  Win32/Netsky.D & .E - Popisy vírusov
18.02.2004  Win32/Netsky.B & .C - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.