Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
28.04.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.Z  (alias Win32/Bagle.X, .AA, .AB)

V posledných dňoch sa na scéne škodlivých kódov objavilo niekoľko nových, hoci veľmi podobných variantov červa Win32/Netsky, ktoré vo svojom kóde obsahovali takmer vždy dosť nemiestne odkazy pre konkurenciu – pre tvorcu/tvorcov červa Win32/Bagle. Ich reakcia netrvala príliš dlho, nakoľko už dnes okolo obeda sa objavil nový, masovo sa šíriaci variant tohto červa, ktorý dostal viacero označení – jedným z nich je aj Win32/Bagle.Z. Medzi používateľmi sa šíri prostredníctvom jednoducho koncipovaných emailových správ, ktorých súčasťou je aj priložený – spustiteľný súbor (... s príponou: .HTA, .VBS, .EXE, .SCR, .COM alebo .CPL), prípadne heslom chránený ZIP archív. Zaujímavé na tomto škodlivom kóde je najmä to, že sa dokáže šíriť v rôznych formách, t.j. ako skript súbor, spustiteľný súbor alebo archív typu ZIP. Najpodstatnejšou informáciou pre používateľov je ale skutočnosť, že za posledné hodiny došlo k masovému rozšíreniu červa Win32/Bagle.Z tak v zahraničí, ako aj u nás na Slovensku a v susedných Čechách.

Počítačový červ Win32/Bagle.Z (... alias Win32/Bagle.X, Win32/Bagle.AA alebo Win32/Bagle.AB) sa šíri prostredníctvom emailových správ, ktorých adresa odosielateľa je podstrčená – falošná. Informácie uvedené v predmete a obsahu týchto správ sú variabilné a závislé aj od formátu priloženého súboru. Pokiaľ sa červ šíri ako klasický spustiteľný súbor, tak predmet emailovej správy obsahuje niektoré z týchto slov/slovných spojení: "Re: Msg reply / Re: Hello / Re: Yahoo! / Re: Thank you! / Re: Thanks :) / RE: Text message / Re: Document / Incoming message / Re: Incoming Message / RE: Incoming Msg / RE: Message Notify / Notification / ... / Protected message / RE: Protected message / Forum notify", pričom jej obsah netvorí žiaden text (... pozri obrázok: č.1 / č.2). V prípade, ak je súčasťou emailovej správy heslom chránený ZIP archív je jej obsah doplnený o krátku textovú informáciu, ktorá vo svojom závere obsahuje heslo určené pre otvorenie priloženého archívu (... pozri ukážku – heslo je do emailovej správy vkladané ako obrázok). Ako už bolo spomenuté vyššie prílohu masovo rozposielaných emailových správ môže tvoriť súbor z variabilným názvom (napríklad: "Information / Details / Text_document / Readme / MoreInfo / Message / Joke / Toy / Your_money / ... / Smoke I_search_for_you") a príponou:

  • .HTA alebo .VBS ... jedná sa o tzv. dropper, ktorý ukrýva spustiteľný súbor (... s veľkosťou okolo 70 kB),


  • .EXE, .COM alebo .SCR ... jedná sa priamo o spustiteľný súbor (... s veľkosťou okolo 20 kB),


  • .ZIP ... jedná sa o klasický archív, ktorý je navyše chránený heslom (... s veľkosťou okolo 22 kB).

K aktivácii červa môže dôjsť len na priamy podnet zo strany používateľa. Ten môže aktivovať buď priložený – skript alebo spustiteľný súbor tvoriaci súčasť emailovej správy alebo musí najprv pomocou priloženého hesla otvoriť ZIP archív a následne aktivovať v ňom obsiahnutý spustiteľný súbor. Červ si po svojom aktivovaní overí aktuálny systémový dátum, pričom ak pri tejto kontrole zistí, že je dátum rovný 25.1.2005 alebo akémukoľvek neskoršiemu dňu automaticky ukončí svoju činnosť. V opačnom prípade sa červ pokúsi uložiť do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP, ?:\WINNT\System32 pri OS MS Windows NT/200x) niekoľko nových súborov:

  • DRVDDLL.EXE ... predstavuje výkonný kód samotného červa,


  • DRVDDLL.EXEOPEN ... ide o záložnú kópiu výkonného kódu červa,

  • DRVDDLL.EXEOPENOPEN ... ide o kópiu červa, prípadne zaheslovaný ZIP archív obsahujúci červa.

V prípade, že sa červ dostane do systému prostredníctvom priloženého súboru s príponou .HTA, najprv je nútený vytvoriť súbor QFL.VBS a prostredníctvom neho vyexportovať na disk ďalší súbor nazvaný QWRK.EXE, ktorý sa automaticky aktivuje. Ďalšou možnosťou je prienik do systému pomocou priloženého súboru s príponou .VBS – tu sa najprv vyexportuje na disk súbor nazvaný VSS_2.EXE a automaticky sa aktivuje. Poslednou alternatívou je použitie priloženého súboru s príponou .CPL, kedy sa najprv do hlavného adresára OS MS Windows uloží súbor CPLSTUB.EXE, ktorý pri svojom spustení vyexportuje výkonný kód červa do systémového adresára (... tak ako je uvedené v predchádzajúcom odstavci).

Následne tento červ doplní do systémových registrov novú hodnotu, prostredníctvom ktorej bude dochádzať k pravidelnej aktivácii jeho výkonného kódu pri každom štarte OS MS Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... drvddll.exe = [cesta k systémovému adresáru OS]\drvddll.exe


Počas počiatočnej integrácie červa Win32/Bagle.Z do systému môže dôjsť k zobrazeniu chybového hlásenia (... pozri ukážku). V infikovanom systéme sa červ ďalej snaží aktivovať tzv. backdoor komponent (... na TCP porte 2535), ktorý očakáva príkazy od vzdialeného útočníka. Týmto spôsobom by sa mohli dať neautorizovane preniesť do infikovaného systému a aktivovať dáta obsahujúce inovovanú verziu emailového červa Win32/Bagle alebo iného škodlivého kódu. Popri tejto činnosti dochádza aj k periodickému pripájaniu sa na približne 90 web serverov, kde sa červ snaží prostredníctvom PHP skriptu zanechať informácie o infikovaných počítačoch. Avšak v čase písania tohto popisu bol predmetný PHP skript odstránený zo všetkých web serverov.
Okrem spomenutých činností červ v infikovanom systéme vyhľadáva adresáre, ktoré obsahujú vo svojom názve reťazec "shar" a ukladá do nich kópie svojho tela pod variabilnými názvami (napríklad: "MICROSOFT OFFICE 2003 CRACK, WORKING!.EXE / PORNO SCREENSAVER.SCR / KASPERSKY ANTIVIRUS 5.0 / AHEAD NERO 7.EXE / WINAMP 6 NEW!.EXE / MATRIX 3 REVOLUTION ENGLISH SUBTITLES.EXE"). To je dôvod prečo sa tento červ dokáže šíriť aj prostredníctvom aplikácií slúžiacich pre vzájomné zdieľanie dát (... ako sú iMesh, KaZaA a iné). Medzi ďalšie aktivity tohto červa patrí aj vyhľadávanie vybranej (... a dosť početnej) množiny aktívnych procesov patriacich bezpečnostným a AV-systémov v rámci operačnej pamäte, ktoré sa snaží automaticky ukončovať.

Autor emailového červa Win32/Bagle.Z sa svoju "nenávisť" voči konkurencii – t.j. tvorcom červa Win32/Netsky snaží kompenzovať aspoň tým, že zo systémových registrov odstraňuje kľúče, ktoré používajú niektoré varianty červa Win32/Netsky za účelom svojej automatickej aktivácie.

Tak ako všetky emailové červy aj Win32/Bagle.Z sa pokúša vyhľadávať na diskoch súbory s príponami .WAB, .TXT, .MSG, .HTM, .SHTM, .STM, .XML, .DBX, .MBX, .MDX, .EML, .NCH, .MMF, .ODS, .CFG, .ASP, .PHP, .PL, .WSH, .ADB, .TBB, .SHT, .XLS, .OFT, .UIN, .CGI, .MHT, .DHTM A .JSP. Z ich obsahu získava nové emailové adresy, na ktoré priebežne rozposiela automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami) a priloženým súborom obsahujúcim jeho výkonný kód. Všetky tieto správy vznikajú za použitia integrovanej MIME rutiny priamo v operačnej pamäti, pričom k ich rozposielaniu červ taktiež využíva vlastnú – integrovanú SMTP rutinu. Pri tomto procese sa navyše červ vyhýba použitiu takých emailových adries, ktoré patria AV-spoločnostiam.

Podľa priebežne aktualizovaných štatistík zostavovaných vybranými prevádzkovateľmi slovenských i českých emailových serverov je možné sledovať výrazné rozšírenie červa Win32/Bagle.Z. Používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu používaného AV-systému a boli opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme vyššie uvedený červ alebo niektorý z jeho predchádzajúcich variantov ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
15.03.2004  Win32/Bagle.M - .T - Popisy vírusov
01.03.2004  Win32/Bagle.C - .E, .H - Popisy vírusov
17.02.2004  Win32/Bagle.B - Popisy vírusov
19.01.2004  Win32/Bagle.A - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.