Hihetetlen mértékben terjed a Badtrans II. vírus

forrás: Prim Online forrás: Prim Online, 2001. november 27. 20:29
Az I-Worm.Badtrans II féreg Win32 rendszereken terjed. A vírus email üzeneteket küld fertőzött melléklettel, és egy trójai kémprogramot is telepít, amely információkat lop a fertőzött gépről. A vírust először 2001. novemberben észlelték, és 24. után már számos európai fertőzés is történt.
A féreg maga egy Win32 végrehajtható fájl (PE EXE file). A hossza kb. 29 Kb, de ez kitömörítés után körülbelül 60 Kb. A féreg két összetevőből áll: egy féregrészből és egy trójai programból. A féregrész fertőzött üzeneteket küld, míg a trójai komponens információkat továbbít (felhasználói adatok, Remaote Access Service adatok, jelszavak, billentyűzetleütések naplója) a fertőzött számítógépekről egy meghatározott email címre. A keylogger program benne van a víruskódban is és képes telepíteni azt egy másik gépen is.

A fertőzött file akkor indul el, ha a felhasználó rákattint a mellékletre. Ha a gépre még nem lett letöltve és lefuttava a nevezetes IFRAME biztonsági rést befoltozó update patch, akkor a féreg rákattintás nélkül is automatikusan megkapja a vezérlést. Először telepíti a komponenseit a rendszerre és beleír a regisztrációs adatbázisba.

A telepített trójai program neve, a telepítés helye és a regisztrációs kulcs változó. Ezek kódolt formában a trójai fájl végén találhatóak. A hacker tudja konfigurálni ezeket, mielőtt elküldi az áldozat gépére vagy mielőtt felteszi a weblapra.

A féreg egy további komponenst is létrehoz, egy billentyűzetleütés figyelőt a rendszeren, amely minden a billentyűzeten keresztül beütött szöveget rögzít. A keletkező .DLL állomány szintén különböző neveket vehet fel.

További lehetséges tulajdonságok:

- a féreg törli az eredeti fertőzött állományt, miután komponenseit sikeresen telepítette

- a létrehozott billentyűzetfigyelő program hossza is változó lehet

Terjedés

A fertőzött üzenet elküldéséhez a féreg közvetlenül az SMPT szervert használja. Az áldozatok email címei az alábbi két módon keletkeznek:

1. A féreg .HT és .ASP kiterjesztésű állományokban keres lehetséges címeket

2. A féreg a MAPI (Mail Application Programming Interface) funkcióinak segítségével minden levelet elolvas a Bejövő levelek dossziéban és ezekben keres használható címeket.

Ezek után a féreg fertőzött üzeneteket küld. A levél HTML formátumú és a nem védett gépeken igyekszik kihasználni az IFRAME biztonsági rést.

Az üzenet lehetséges tulajdonságai:

A Feladó/From: mezőben vagy az igazi feladó neve szerepel vagy pedig az alábbi hamis címekből lesz kiválasztva:

" Anna"

"JUDY"

"Rita Tulliani"

"Tina"

"Kelly Andersen"

" Andy"

"Linda"

"Mon S"

"Joanna"

"JESSICA BENAVIDES"

" Administrator"

" Admin"

"Support"

"Monika Prado"

"Mary L. Adams"

" Anna"

"JUDY"

"Tina"

A levél Tárgy/Subject: megjelölése vagy üresen van hagyva, vagy a "Re:" (válasz) jellel kezdődően egy az Inbox dossziéban valóban létező levélből kerül felhasználásra – a hitelesebb megtévesztés érdekében. A bejövő üzenet szövege (amennyiben a MAPI felhasználásával történt az email címek keresése):

Az üzenet törzse üres. A mellékletben szereplő állomány neve az alábbi listából véletlenszerűen kerül kiválasztásra, és több, egymásutáni filekiterjesztést is tartalmaz.

Pics (vagy PICS )

Card (vagy CARD)

images (vagy IMAGES)

Me_nude (vagy ME_NUDE)

README

Sorry_about_yesterday

New_Napster_Site

info

news_doc (vagy NEWS_DOC)

docs (vagy DOCS)

HAMSTER

Humor (vagy HUMOR)

YOU_are_FAT! (vagy YOU_ARE_FAT!)

fun (vagy FUN)

stuff

SEARCHURL

SETUP

S3MSONG

Első kiterjesztés: .DOC .ZIP .MP3

Második kiterjesztés: .scr, .pif

Például: "info.DOC.scr"

A féreg nem küldi el a fertőzött üzenetet kétszer ugyanarra a címre. (ez volt a módszer a Magistr esetében is). Ennek érdekében eltárolja az érintett email üzeneteket a Windows System könyvtárban egy PROTOCOL.DLL nevű állományban és új levél küldése előtt ellenőrzi, hogy nem szerepel-e már benne.

A féregnek ezt a variánsát 2001. nevember 24-én fedezték fel először. Magát beinstallálja a Windows System könyvtárba KERNEL32.EXE néven és az alábbi bejegyzést írja a regisztrációs adatbázisba:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe

Létrehozza a leütéseket kémlelő KDLL.DLL nevű programot. A billentyűleütéseket egy CP_25389.NLS nevű állományba gyűjti és azt a "uckyjw@hotmail.com" email címre próbálja meg továbbítani.

Az F-Secure és Kaspersky Anti-Virus programok a 2001. november 25-i frissítéssel már felismerik és irtják. Az F-Secure cég lapján szerepel egy regisztrációs bejegyzést törlő állomány is, ez az alábbi linken érhető el:

ftp://ftp.europe.f-secure.com/anti-virus/tools/bt_b_dis.reg