Karácsonyi vírus

forrás: Prim Online forrás: Prim Online, 2001. december 25. 12:42
A karácsonykor is neten lógókat fenyegető politikai tartalmú vírust először 2001. december 19-én észleltek. A Maldal féreg olyan e-mail üzenetekben terjed, melynek melléklete CHRISTMAS.EXE. Névváltozatok: Keyluc, Zacker, CHRISTMAS.EXE, Reeezak. Első ránézésre egy megszokott multimédiás karácsonyi üdvözlőlapnak látszik.
A Maldal Visual Basic 5. nyelven készült Windows PE EXE file, a hossza körülbelül 36.5 kB. Összegyűjti az email címeket az Outlook címjegyzékéből és a MSN Messenger kapcsolatok listájából. Ezekre olyan egyforma leveleket küld, melyeknek levélszövege és melléklete is ugyanaz.

Íme a Maldal által küldött levél:

Feladó / Name: a fertőzött felhasználó neve

Címzett / To: egy véletlenszerűen kiválasztott tétel a címjegyzékből

Tárgy / Subject: Happy New Year

Hii , I can't describe my feelings But all I can say is Happy new year :-) bye

Csatolt állomány / Attachment: christmas.exe

Ha a mellékletet megnyitják, akkor először egy karácsonyi üdvözlő ablak tűnik elő, ezzel palástolva a rosszindulatú ténykedést.

A féreg bemásolja magát a Windows könyvtárba 'Christmas.exe' néven. Ez a másolata a féregnek a Registry bejegyzések közé is bekerül, így ez a kód minden Windows induláskor le fog futni:

'[HKLM]\Software\Microsoft\Window\CurrentVersion\Run\Zacker'

Büntető rutin:

A féreg kikapcsolja a billentyűzetet és megkísérel minden állományt törölni a Windows System könyvtárban. A számítógép nevét 'ZaCker'-re állítja és az Internet Explorer kezdőlapját átállítja egy fertőzött weblap címére. Ha a fertőzött lapot megjelenítik Internet Explorerben, a lapban szereplő JavaScript kód lefut, kihasználva egy ismert Microsoft biztonsági hibát (VM ActiveX control vulnerability, MS00-075). Ez a JS kód létrehoz egy "rol.vbs" állományt a Windows meghajtó gyökérkönyvtárában és lefuttatja azt. Ennél a pontnál a féreg megkísérli kitörölni az adott meghajtón az alábbi könyvtárakat:

Program Files\Zone Labs

Program Files\AntiViral Toolkit Pro

Program Files\Command Software\F-PROT95

eSafe\Protect

PC-Cillin 95

PC-Cillin 97

Program Files\Quick Heal

Program Files\FWIN32

Program Files\FindVirus

Toolkit\FindVirus

f-macro

Program Files\McAfeeVirusScan95

Program Files\Norton AntiVirus

TBAVW95

VS95

rescue

A féreg elhelyezi a "DaLaL.htm" állományt a Windows System könyvtárba, ez tartalmazza a linket a féreg második részéhez. Ez az állomány a féreg "server.vbs" másolatával együtt bemásolódik minden egyes megosztott hálózati meghajtó gyökér könyvtárába. Ezután a féreg végigmegy minden helyi és hálózati meghajtón és hozzáfűzi a "DaLaL.htm" tartalmát minden egyes ".htm", ".html" és ".asp" kiterjesztésű állományhoz.

A féreg ezenkívül törli az alábbi kiterjesztésű állományokat: ".lnk", ".zip", ".jpg", ".jpeg", ".mpg", ".mpeg", ".doc", ".xls", ".mdb", ".txt", ".ppt", ".pps", ".ram", ".rm", ".mp3" and ".swf".

Ezek törlése után a vírust lemásolva magát a törölt állományok nevén, de az eredeti névhez egy ".vbs" kiterjesztést fűz hozzá. A Maldal megkeresi, hogy van-e telepítve a mIRC chat és ha megtalálja, annak beállításait ( a "mirc.ini" file) is felülírja.

Ezek után a fertőzött felhasználó egy üzenetet fog megjeleníteni annak a felhasználónak a gépén, aki belép ugyanarra az IRC csatornára. Ez az üzenet egy olyan linket jelenít meg, amelyik a fertőzött weboldalra mutat.

Végül, ha a kezdeti fertőzés és script végrehajtása között már eltelik 30 perc, és a másodpercek száma egyenlő öttel, megkísérli a létező összes állományt törölni, megjelenít egy üzenet ablakot majd lezárja a Windowst.

A második része a féregnek hasonlóképpen viselkedik, kivéve hogy még egy állományt elhelyez a Windows System alkönyvtárban, "outlook.vbs" néven és lefuttatja azt. Ez a script fogja aztán a címjegyzékben szereplő címekre a fertőzött üzeneteket elküldeni. Ezekben az üzenetekben szerepel a link, amelyik a fertőzött weboldalra mutat és tartalmazza még az alábbi szöveget is:

Subject Very important !!!

Body: See this page

http://geocities.com/Xxxxxxx/xxx.htm

Az F-Secure és Kaspersky Anti-Virus programok a 2001. december 20-i adatállományokkal már felismerik.