Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
21.04.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Netsky.X - .Z  (aktualizované dňa 22.4.2004)

Prvý variant emailového červa Win32/Netsky.A bol identifikovaný 16.2.2004, pričom o jeho existencii sa v tom čase príliš nehovorilo ani nepísalo. Postupom času (t.j. za uplynulé dva mesiace) sa situácia diametrálne zmenila. Červ Win32/Netsky patrí dnes k masovo najrozšírenejším škodlivým kódom a neustále sa objavujú jeho nové – mierne modifikované varianty. Najnovším z nich je variant Win32/Netsky.X, ktorý z veľkej časti funguje rovnako ako jeho predchodcovia. Šíri sa ako spustiteľná príloha emailových správ, ktoré obsahujú falošnú adresu odosielateľa. Navyše tento červ dokáže meniť aj texty tvoriace predmet a obsah masovo rozposielaných správ do viacerých jazykov – a to na základe emailovej adresy náhodného prijímateľa.

Win32/Netsky.X
... predstavuje počítačový červ, ktorý bol vytvorený v programovacom jazyku Visual C++ 6.0, pričom jeho výsledný kód bol dodatočne interne komprimovaný za použitia nástroja TeLock. Medzi používateľmi sa šíri výlučne prostredníctvom emailových správ, ktoré majú v položke odosielateľ uvedenú falošnú emailovú adresu (... získanú zo zdrojov infikovaného systému) alebo konštantnú emailovú adresu: hukanmikloiuo@yahoo.com. Na rozdiel od predchádzajúcich variantov má tento červ jednu zaujímavú funkciu. Pri generovaní jednotlivých správ sa červ snaží modifikovať jazykovú verziu textových informácií tvoriacich predmet a obsah emailu. Príslušná modifikácia je závislá od použitej emailovej adresy náhodného prijímateľa emailu, resp. len od jej koncovky, ktorá charakterizuje krajinu (napríklad: .de = Nemecko, .fr = Francúzsko, .it = Taliansko, ... , .se = Švédsko). Na základe danej koncovky dokáže červ vo vybraných prípadoch použiť zodpovedajúcu jazykovú modifikáciu príslušných textových informácií (... pozri ukážku: č.1 / č.2). Ak sa však použitá koncovka v jeho evidencii nenachádza namiesto preloženého textu (... ktorý mimochodom obsahuje dosť chýb) použite jeho anglickú verziu – t.j. predmet správy obsahuje text: "Re: document" a obsah je tvorený frázou: "Please read the document.". Súčasťou každej takejto emailovej správy je aj priložený – spustiteľný súbor s variabilným názvom (napríklad: "DOKUMENT / DOCUMENT / DOCUMENTO / ... / ORIGINAL / DOKUMENTEN / BELGE / .XX") a príponou .PIF, ktorého veľkosť je 26 112 bajtov.

K aktivácii priloženého súboru môže dôjsť len na priamy podnet zo strany používateľa. Na začiatku červ prekopíruje svoje telo do súboru nazvaného FIREWALLSRV.EXE, ktorý vytvorí v hlavnom adresári OS (t.j. v adresári ?:\Windows pri OS MS Windows 9x/Me/XP alebo ?:\WINNT pri OS MS Windows NT/200x). Ďalej červ doplní do systémových registrov novú hodnotu odkazujúcu sa na novovytvorený súbor, čím si zabezpečí pravidelnú aktiváciu svojho kódu pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... FirewallSrv = [cesta k hlavnému adresáru OS]\FirewallSrv.exe


Okrem iného červ vyexportuje do vyššie spomenutého adresára ešte jeden súbor nazvaný FUCK_YOU_BAGLE.TXT (... s veľkosťou 35 784 bajtov), ktorý obsahuje jeho výkonný kód vo formáte určenom pre import do masovo rozposielaných emailových správ. Klasickou aktivitou tohto červa je tiež snaha identifikovať na pevných diskoch v rozsahu C: až Z: (... okrem CD/DVD mechaník) súbory s viac ako 30-timi predurčenými príponami, v obsahu ktorých hľadá nové emailové adresy. Na získané adresy neskôr červ pomocou vlastnej SMTP rutiny rozpošle automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Pri vytváraní jednotlivých emailových správ dochádza k "falšovaniu" emailovej adresy odosielateľa, čím sa červ snaží zabrániť identifikácii infikovaných počítačov.

Počas svojej aktivity červ aktivuje v infikovanom systéme aj jednoduchý backdoor komponent, ktorý na sieťovom porte TCP 82 očakáva príkazy vzdialeného útočníka. Týmto spôsobom sa podľa doterajších zistení dajú neautorizovane preniesť do infikovaného systému a aktivovať dáta obsahujúce inovovanú verziu akéhokoľvek emailového červa alebo iného škodlivého kódu. Poslednou známou aktivitou, ktorú vykonáva červ Win32/Netsky.X v čase od 28.4. do 30.4.2004 je DoS (Denial of Service) útok proti trom web serverom – Nibis.de, Medinfo.ufl.edu a Educa.ch.

Win32/Netsky.Y
... niekoľko hodín po tom, ako sa podarilo AV-spoločnostiam identifikovať emailový červ Win32/Netsky.X sa v sieti Internet objavil jeho ďalší – modifikovaný variant. Červ Win32/Netsky.Y sa od svojho predchodcu líši výlučne textovými informáciami a variabilným názvom priloženého – spustiteľného súboru, ktorý vkladá do masovo rozposielaných emailových. Pre takéto správy je príznačné to, že v položke odosielateľ majú uvedenú falošnú emailovú adresu, ich predmet vždy tvorí fráza: "Delivery failure notice (ID-[náhodne vygenerované čísla/znaky])" a v obsahu majú uvedený nasledujúci text: "--- Mail Part Delivered --- ... [New / Partial / External / Delivered] message is available." (... pozri ukážku: č.1 / č.2). Súčasťou emailových správ je aj priložený – spustiteľný súbor, ktorého názov červ vytvára podľa preddefinovanej šablóny: www.[náhodná doména].[náhodné používateľské meno].session-[náhodné čísla/znaky].com (napríklad: www.email.com.user.session-000078E9.com). Len pre úplnosť dodajme, že uvedený súbor je interne komprimovaný pomocou nástroja PE-Pack a jeho veľkosť je 18 944 bajtov.

Detailná analýza tohto červa navyše odhalila v jeho kóde skrytú správu, ktorá sa za bežných podmienok nikdy nezobrazuje. Jej obsah predstavuje odkaz, ktorým sa tvorcovia červa win32/Netky snažia "vyburcovať" k väčšej aktivite konkurenciu, t.j. tvorcu alebo tvorcov červa Win32/Bagle – tu je ukážka daného odkazu:

Hey, bagle what’s up?
No ideas?
Greetings from out Team
19.04.04 11:45 Russia


Win32/Netsky.Z (... doplnené dňa 22.4.2004)
... v krátkom čase po identifikácii predchádzajúcich dvoch (... veľmi podobných) variantov sa objavil ďalší variant červa Win32/Netsky. Vzhľadom na to, že za posledných niekoľko hodín bolo zaznamenaných viacero prípadov jeho výskytu aj na Slovensku rozhodli sme sa doplniť aspoň stručné informácie týkajúce sa červa Win32/Netsky.Z (... alias Win32/Netsky.AA).

Tento červ sa šíri medzi používateľmi prostredníctvom automaticky generovaných emailových správ, pre ktoré sú príznačné nasledujúce textové informácie uvedené v ich predmete: "Important / Document / Hello / Information / Hi" a tiež obsahu: "Important informations! / Important textfile! / Important! / Important data! / Important bill! / Important document! / Important notice! / Important details!" (... pozri ukážku: č.1 / č.2). Súčasťou každej správy je aj priložený archív typu ZIP s variabilným názvom (napríklad: "INFORMATIONS.ZIP / TEXTFILE.ZIP / PART-2.ZIP / DATA.ZIP / BILL.ZIP / IMPORTANT.ZIP / NOTICE.ZIP / DETAILS.ZIP") a veľkosťou 22 420 bajtov. V rámci priloženého ZIP archívu sa nachádza uložený spustiteľný súbor opäť s variabilným názvom a zdvojenou príponou v tvare: [názov súboru].TXT[väčší počet medzier].EXE (... pozri ukážku), čo môže u mnohých používateľov vyvolať dojem, že sa jedná o obyčajný textový dokument – hoci v skutočnosti ide o klasický spustiteľný súbor skrývajúci v sebe výkonný kód samotného červa.

K aktivácii červa môže dôjsť len za predpokladu, že používateľ rozbalí priložený archív typu ZIP a spustí v ňom obsiahnutý súbor. V takom prípade sa červ pokúsi prekopírovať svoje výkonný kód do hlavného adresára OS MS Windows, konkrétne do súboru nazvaného JAMMER2ND.EXE (... s veľkosťou 22 016 bajtov) a doplní do systémových registrov novú hodnotu, ktorá zabezpečí aktiváciu daného súboru pri každom štarte systému.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... Jammer2nd = [cesta k hlavnému adresáru OS]\Jammer2nd.exe


Následne červ vytvorí v identickom adresári ešte niekoľko ďalších súborov, ktoré obsahujú jeho výkonný kód vo formáte určenom pre import do rozposielaných emailových správ (... jedná sa konkrétne o súbory: PK_ZIP1.LOG, PK_ZIP2.LOG, PK_ZIP3.LOG, PK_ZIP4.LOG, PK_ZIP5.LOG, PK_ZIP6.LOG, PK_ZIP7.LOG a PK_ZIP8.LOG). Pokiaľ ide o ostatné aktivity tohto červa, tak tie sú veľmi podobné tým, ktoré sme spomínali pri predchádzajúcich dvoch variantoch. Najpodstatnejším rozdielom je azda ešte to, že backdoor komponent v tomto variante očakáva príkazy od vzdialeného útočníka na porte 665 a DoS útok na trojicu vyššie spomenutých serverov červ realizuje v dňoch od 2.5. do 5.5.2004. Pri detailnej analýze výkonného kódu tohto červa bol objavený ďalší textový odkaz... .

:::::::::::They never learn it!:::::::::::

Podľa priebežne aktualizovaných štatistík na serveri AV-spoločnosti F-Secure je možné sledovať čoraz intenzívnejšie rozšírenie červov Win32/Netsky.X - .Z v celosvetovom meradle. Používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov alebo niektorý z ich predchádzajúcich variantov ponúkame aktualizované jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
30.03.2004  Win32/Netsky.Q, .T, .U - Popisy vírusov
24.03.2004  Win32/Netsky.P - Popisy vírusov
01.03.2004  Win32/Netsky.D & .E - Popisy vírusov
18.02.2004  Win32/Netsky.B & .C - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.