Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
12.06.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Zafi.B  (alias Win32/Erkez.B)

Počas skorých ranných hodín v priebehu včerajšieho dňa (t.j. piatku) sa podarilo AV-spoločnostiam identifikovať v sieti Internet nový emailový červ, nazvaný Win32/Zafi.B. Všeobecne platí, že čím väčšiu skupinu používateľov dokáže škodlivý kód "osloviť", tým je väčšia šanca, že sa mu podarí výraznejšie a rýchlejšie rozšíriť. To je aj prípad tohto červa, ktorý na emailové adresy získané z rôznych súborov v rámci infikovaného počítača rozposiela emailové správy napísané v rôznych jazykoch: angličtine, taliančine, španielčine, ruštine, češtine a pod.. Tento červ sa okrem šírenia prostredníctvom príloh emailových správ, dokáže šíriť aj sieťovo zdieľanými adresármi, vykonávať DoS útok na vzdialené web servery a blokovať spúšťanie vybraných bezpečnostných a AV-aplikácií.

Počítačový červ Win32/Zafi.B (... alias Win32/Erkez.B alebo Win32/Hazafi.30720) sa šíri za posledných 24 hodín medzi používateľmi vo výraznej miere najmä prostredníctvom emailových správ, ktoré majú v položke odosielateľ uvedenú falošnú emailovú adresu (... získanú zo zdrojov infikovaného systému). Na rozdiel od svojho pôvodného variantu má tento červ jednu zaujímavú funkciu. Pri generovaní jednotlivých správ sa snaží modifikovať jazykovú verziu textových informácií tvoriacich predmet a obsah emailu. Príslušná modifikácia je závislá od použitej emailovej adresy náhodného prijímateľa emailu, resp. len od jej koncovky, ktorá charakterizuje krajinu (napríklad: .es = Španielsko, .cz = Česko, .it = Taliansko, ..., .se = Švédsko). Na základe danej koncovky dokáže červ vo vybraných prípadoch použiť zodpovedajúcu jazykovú modifikáciu príslušných textových informácií (... pozri ukážku: č.1 / č.2 / č.3 / č.4). Súčasťou každej takejto emailovej správy je aj priložený – spustiteľný súbor s variabilným, relatívne dlhým názvom (napríklad: "www.ecard.com.funny.picture.index.nude.php356.pif / link.atviruka.showcard.index.phpGz42.pif") a príponou .PIF, .COM alebo .EXE, ktorého veľkosť je 12 800 bajtov (... súbor je interne komprimovaný nástrojom FSG).

K aktivácii priloženého súboru môže dôjsť len na priamy podnet zo strany používateľa. Na začiatku si červ overí, či sa už v systéme nachádza jeho aktívna kópia. Pokiaľ nie, vytvorí v systémovom adresári OS MS Windows (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP, ?:\WINNT\System32 pri OS MS Windows NT/200x) dva nové súbory s variabilným názvom, v tvare: [8 náhodných znakov].EXE a [8 náhodných znakov].DLL, do ktorých uloží svoj výkonný kód. V identickom adresári červ vytvorí ešte päť ďalších súborov s variabilnými názvami, v tvare: [8 náhodných znakov].DLL a do systémových registrov doplní novú hodnotu odkazujúcu sa na jeden z novovytvorených súborov, čím si zabezpečí pravidelnú aktiváciu svojho kódu pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... _Hazafibb = [cesta k hlavnému adresáru OS]\ [náhodný názov súboru].exe


V ďalšej fáze sa červ snaží vyhľadať v infikovanom systéme adresáre, ktoré vo svojom názve obsahujú reťazce: "share" alebo "upload". Takéto adresáre s veľkou pravdepodobnosťou môžu obsahovať na niektorých systémoch sieťovo zdieľané súbory. Červ do nájdených adresárov preto vkladá kópiu svojho kódu (... vo forme súboru: "WINAMP 7.0 FULL_INSTALL.EXE" alebo "TOTAL COMMANDER 7.0 FULL_INSTALL.EXE"), čím rozširuje možnosti svojho ďalšieho šírenia sa počítačovou sieťou.
Hlavným distribučným kanálom, prostredníctvom ktorého sa šíri červ Win32/Zafi.B sú spustiteľné prílohy emailových správ. Predtým než dôjde k ich vygenerovaniu pokúsi sa červ skontaktovať so vzdialeným web serverom Google.com a Microsoft.com, čím si overí existenciu pripojenia infikovaného systému do siete Internet. Tak ako väčšine dnešných emailových červov, ani tomuto exempláru nechýba funkcia, ktorá mu umožňuje vyhľadávať emailové adresy v rámci vybraných typov súborov (... s príponami: .HTM, .WAB, .TXT, .DBX, .TBB, .ASP, .PHP, .SHT, .ADB, .MBX, .EML a .PMR) uložených na pevných diskoch. Všetky získané adresy červ priebežne ukladá do pätice vyššie spomínaných súborov vytvorených v systémovom adresári OS MS Windows. Neskôr na tieto emailové adresy rozpošle pomocou vlastnej SMTP rutiny automaticky vygenerované emailové správy (... s vyššie uvedenými špecifikami). Pri vytváraní jednotlivých správ ignoruje také adresy, ktoré obsahujú reťazce príznačné pre AV-spoločnosti a navyše "falšuje" emailovú adresu odosielateľa, čím sa snaží zabrániť identifikácii infikovaných počítačov.

Medzi ďalšie aktivity tohto emailového červa patrí snaha blokovať používateľovi prístup k aplikáciám určeným pre editovanie obsahu systémových registrov a manipulovanie s aktívnymi procesmi v operačnej pamäti infikovaného systému. Sprievodným javom prítomnosti červa v systéme môže byť tiež náhodné zobrazovanie už navštívených web stránok pri štarte aplikácie MS Internet Explorer a zvýšená sieťová aktivita, zapríčinená aktiváciou DoS (Denial of Service) útoku proti štvorici maďarských web serverov: Parlament.hu, VirusBuster.hu, Virushirado.hu a 2f.hu.

Detailná analýza tohto červa navyše odhalila v jeho kóde skrytú správu, ktorá sa za bežných podmienok nikdy nezobrazuje - tu je jej ukážka (... maďarský originál / anglický preklad):

A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen!2004, jun, Pecs,(SNAF Team).

We demand that the government accomodates the homeless, tightens up the penal code and VOTES FOR THE DEATH PENALTY to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)


Na základe priebežne aktualizovaných štatistík zostavovaných vybranými prevádzkovateľmi slovenských i českých emailových serverov a tiež AV-spoločnosťou F-Secure je možné sledovať výraznejšie rozširovanie červa Win32/Zafi.B najmä v Európe. Používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu používaného AV-systému a boli opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme vyššie uvedený červ ponúkame jednoúčelový AV-program určený pre jeho rýchlu elimináciu – dostupný je v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
25.06.2004  Win32/Korgo.Gen - Popisy vírusov
19.05.2004  Win32/Bobax.A - .C & Win32/Kibuv.A - .B - Popisy vírusov
12.05.2004  Win32/Sasser.E & .F - Popisy vírusov
01.05.2004  Win32/Sasser.A - .D - Popisy vírusov
28.04.2004  Win32/Bagle.Z - Popisy vírusov
21.04.2004  Win32/Netsky.X - .Z - Popisy vírusov
30.03.2004  Win32/Netsky.Q, .T, .U - Popisy vírusov
26.03.2004  Win32/Bagle.U & .V - Popisy vírusov
24.03.2004  Win32/Netsky.P - Popisy vírusov
15.03.2004  Win32/Bagle.M - .T - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.