Új e-mail féreg terjed

forrás: Prim Online forrás: Prim Online, 2002. november 26. 12:18
Az I-Worm.Winevar az interneten e-mail üzenetek mellékletében terjed. Névváltozatai: HLLM.Seoul, W32.HLLW.Winevar, Korvar, Braid.C, Winevar.
Jelenlétét először Koreában észlelték. A féreg maga egy kb. 91 Kb hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak.

A fertőzött üzenet az alábbiak szerint néz ki:

Tárgy: (Subject)

Re: AVAR(Association of Anti-Virus Asia Reseachers)

Levélszöveg: (Body)

AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish.

Csatolt állomány: (Attachment)

MUSIC_1.HTM

MUSIC_2.CEO

A féreg a lefuttatásához egy biztonsági rést (IFRAME Exploit) próbál meg kihasználni. A féreg telepíti magát a rendszerbe, majd lefuttatja a terjesztő és büntető rutinját.

Fertőzés:

A féreg véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba:

WIN%rnd%.EXE or WIN%rnd%.PIF

Ahol a %rnd% érték egy véletlenszám, és létrehoz egy olyan registry kulcsot, amely ezt minden rendszerindításkor lefuttatja:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

A féreg ezen kívül létrehoz (dropper) egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven bemásol, szintén a Windows System alkönyvtárba.

A Funlove eredeti szövege helyett az alábbit karaktersorozatot tartalmazza:

~AAVAR 2002 in Seoul~

Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik.

Megjeleníti az alábbi üzenetet:

Make a fool of oneself

What a foolish thing you have done!

A féreg létrehoz magából (dropper) egy Funlove.4099 vírusvariánst is, WINxxxx.PIF néven

Terjedés:

A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelezőmappa-állományokban kutat címek után és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek.

A terjedéshez közvetlenül az alapbeállításban szereplő SMTP mail servert használja, ezt a Windows regisztrációs adatbázisból olvassa ki.

A féreg szintén tartalmaz egy hálózati terjedési rutint is, amelyik bemásolja magát EXPLORER.PIF néven a hálózati megosztásokba, de az első vizsgálat alapján úgy tűnik, ezt a rutint nem fejezte be a vírusíró.

Büntető rutin:

A féreg a futó processzek között antivírus-, tűzfal- és debugger programok folyamatait is megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?) ha antivírusprogramot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy ez egy programhiba a víruskódban.

A féreg megváltoztatja a regisztrációs adatbázisban (Registry) az alábbi kulcsokat:

SOFTWARE\Microsoft\Windows NT\CurrentVersion

SOFTWARE\Microsoft\Windows\CurrentVersion

Ezek eredeti értéke helyett a következő szövegeket írja be:

RegisteredOrganization = Trand Microsoft Inc.

RegisteredOwner = AntiVirus

Ezenfelül a féreg végtelen ciklusban hívogatja a http://www.symantec.com weboldalt, úgy tűnik, DoS támadást próbál intézni a szerver ellen.

A féreg az alábbi, titkosított szövegeket tartalmazza:

~~ Drone Of StarCraft~~

http://www.sex.com/

Az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.