Az elmúlt hetek vírusai
forrás Prim Online, 2003. november 13. 13:20
Az elmúlt hetek "vírustermését" gyűjtöttük egy csokorba.
Ezek közül kiemelkednek a Mimail variánsok, különösen azért, mert Szappanos Gábor a Virus Bulletinben megjelent cikkében a reprodukciós ciklusukat, fertőzési folyamatukat elemezve eljutott arra a következtetésre, hogy vélhetően a féreg .zip formátumba tömöríti magát, és valamikor, előre nem jósolható okból ismét elindul a Mimail hullám, de nagy biztonsággal ennek "aktív résztvevői" különféle mutánsok lesznek. Igaza volt...
Ezenkívül megemlítendő, hogy a hálózati férgek - melyek közül több többször rendelkezik backdoor - aktivitása nőtt. Meglepetésszerű a trójaiak tömeges megjelenése, de esetükben sem beszélhetünk "egyszerű" trójairól. Mindegyik rendelkezik különleges - a fajtára nem jellemző - tulajdonsággal is. Végül nem hagyhatjuk ki a Lenti család Yaha-X egyedét, mely elődeihez hasonlóan azon "vendégek" közé tartozik, melyeknek nem örülünk.
A W32/Agobot-AF egy hálózati féreg, amely jogosulatlan hozzáférést engedélyez a megfertőzött rendszerhez IRC csatornán keresztül A W32/Agobot-AF a gyenge jelszóval védett hálózati megosztásokon keresztül terjed, kihasználva az ismert DCOM RPC és RPC locator hibát. Ezek a hibák lehetővé teszik a féreg számára, hogy a távoli számítógépeken programot futtasson rendszerszintű hozzáféréssel. További információk a hibákról és arról, hogy milyen módon lehet a hibák okozta sebezhetőséget megszüntetni, a Microsoft MS03-026 és MS03-001 számú közleményében találhatóak.
A W32/Agobot-AF bemásolja magát a Windows system könyvtárba SCVHOST.EXE néven, és a következő registry bejegyzést hozza létre:
W32/Agobot-AF megkísérli leállítani az antivírus és a biztonsági programok jelen lévő folyamatait.
A W32/Marq-A e-mail féreg egy e-mail levelet küld, amely egy linket tartalmaz, a link aktiválásakor egy zelig.scr nevű fájl töltődik le, amely a férget tartalmazza. A féreg által küldött e-mailnek a következő jellegzetességei vannak.
A "poesie catartiche" szövegrész tartalmazza a férget letöltő linket.
A W32/Marq-A elküldi magát a felhasználó Windows Address Bookjában talált összes e-mail címre. A W32/Marq-A megváltoztatja a Windows Marquee screensaverének a szövegét a következőkre "A volte ti sento cos vicinia...A volte ti sento cos lontana...Certo che hai proprio un cellulare di merda!".
A W32/Agobot-AC egy változata az Agobot családnak egy backdoor komponenssel kibővítve. Ez a verzió elhelyez egy regloadr nevű fájlt a Windows system folderben, és a következő registry bejegyzéseket hozza létre:
A W32/Randex-Q egy hálózatokon terjedő féreg backdoor képességekkel, amely lehetővé teszi egy távoli felhasználó számára a megfertőzött számítógép irányítását egy IRC csatornán keresztül. A W32/Randex-Q véletlenszerűen generál egy IP címet és megpróbál csatlakozni hozzá az IPC$ megosztáson keresztül egyszerű jelszavak felhasználásával. Ha a csatlakozás sikeres volt, akkor a féreg elhelyezi a másolatát a következő könnytárakba:
Ezek után a W32/Randex-Q egy ütemterv szerint indítja el a távoli számítógépeken elhelyezett fájlokat. Minden alkalommal, amikor a féreg fut, megpróbál csatlakozni egy távoli IRC szerverhez egy külön csatornán keresztül. A féreg ilyenkor a háttérben fut, mint egy szerverfolyamat, és figyeli a beérkező utasításokat. A féreg első futásakor elhelyez egy Musirc4.71.exe nevű fájlt a Windows rendszer könyvtárba, és létrehozza a következő registry bejegyzéseket:
A VBS/Flea-A HTML e-mailek útján terjed. A féreg a HTML levél aláírásaként érkezik. Amikor a HTML e-mailben lévő betöltődik, a HTML kódban lévő javascript lefut. A javascript ezek után betölt egy másik weblapot, amelyen egy VB Script fut. A VB Script elhelyez egy fájlt a fürtözött gépen C< véletlen szám >.HTM néven a Windows folderben. Ez a fájl lesz beállítva aláírásként az Outlook Expressben.
A W32/Holar-I egy internetes féreg, amely fájlmegosztásokon, peer-to-peer hálózatokon és e-maileken keresztül terjed. A terjedéshez szükséges e-mail címeket a helyi gépeken lévő helyekről szerzi be, mint például az Outlook address bookja és TXT, HTML,HTM és EML fájlok. A féreg által küldött e-mailek tárgysorának az alábbi tartalma lehetséges:
A csatolt fájl tartalmazza a futásra kész férget.
A W32/Holar-I megkeresi a registryben a KaZaA megosztott mappájának az elérési útját, és erre a helyre bemásolja magát PIF, EXE, COM, BAT vagy SCR kiterjesztésekkel. (Például::\Program Files\KaZaA\My Shared Folder\Kazaa.bat.) A W32/Holar-I bemásolja magát még a Windows rendszer könyvtár alá a futáskor meglévő néven SYS kiterjesztéssel. Más fájlokat is létrehoz a Windows system könyvtárba, amelyeket szintén bemásol a Windows temp könyvtárba, beleértve az explore.exe, smtp.ocx és a.pif (lehetséges még EXE,BAT,SCR vagy COM kiterjesztéssel is).
A smtp.ocx egy létező szoftverkomponens, és ezért a felismerés nem terjed ki erre a fájlra.
A következő registry bejegyzést hozza létre a féreg, hogy a rendszer minden indulásakor elinduljon.
A következő registry bejegyzéseket hozza létre azzal a szándékkal, hogy a fertőzést jelezze és számlálja a vírusos rendszerindításokat.
A HKCU\DeathTime registry bejegyzés tárolja azt a számot, ahány alkalommal a W32/Holar-I futott. Amikor az érték eléri a harmincat, a számítógép nem válaszol a bejövő üzenetekre, és a következő üzenetet írja ki a teljes képernyőre vörössel: "! have noth!na say bam st!ll ZaCker !" Ez történik minden alkalommal. amikor a számítógép elindul, egészen a féreg eltávolításáig.
A Sophos észlelte, hogy a W32/Sober-Enc a W32/Sober-A mintája, mivel az eredeti base64 kódolású. A fájl a jelenlegi állapotban nem veszélyes.
A W32/Mimail-C féreg e-mailen keresztül terjed a fertőzött gépeken lévő e-mail címeket használva. Az összes összegyűjtött címet az eml.tmp fájlban tárolja a Windows könyvtárban. Azért, hogy minden alkalommal elinduljon, amikor a Windows indul, a W32/Miail-C bemásolva magát netwatch.exe néven a Windows folderbe és registrybe a következő bejegyzést illeszti be:
Photos.zip egy tömörített fájl, amely egy futtatható fájlt tartalmaz, amelynek a neve photos.jpg.exe.
Leírás:
A Mimail-E hasonlóan elődeihez, ill. mutánsaihoz elsősorban levéllel terjed, de minden csatornát ki tud használni a fertőzésre. A levélcímeket a fertőzött gép címjegyzéke mellett a htm-ekből, a cookie-kből gyűjti, és küldi el minden címre másolatát.
Annak érdekében, hogy minden indításkor fusson, a rendszerleíró adatbázis egyik kulcsát írja át:
A fertőzött levél jellemzői:
A W32/Mimail-egy véletlenszerűen alkotott címről, általában john@
avi, bmp, cab, com, dll, exe, gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip
A W32/Mimail-E DoS (denial of service) támadást próbál indítani azokról a helyekről., melyeket megfertőzött.
Leírás:
A W32/Mimail-F hasonlóan az -E változathoz leveleken terjed, a címeket ugyanúgy minden lehetséges fájlból begyűjti, és a "címbázisát" eml.tmp fájlban tárolja a Windows könyvtárban. Állandófutása érdekében a Windows start-up mappájába másolja magát sysload32.exe néven, ezenkívül a regisztrációs adatbázis alábbi kulcsát módosítja:
A fertőzött levél jellemzői:
A W32/Mimail-F tulajdonsága, levélküldése, a kreált feladó, a címek gyűjtése a Mimail-E-vel megegyezik. A W32/Mimail-F megpróbál előkészíteni egy DoS támadást (denial of service attack) a mysupersales.com és www.mysupersales.com lapok ellen..
A vírust a Sophos detektálta és analizálta november 3-án GMT 10:13-kor úgy, hogy más vírusinformációs állomány szűrte ki.
Leírás:
A W32/Mimail-H tulajdonságai kis eltérésekkel, átfedésekkel megegyeznek az elődeivel. Az állandó futás miatt szintén módosítja a rendszerleíró adatbázis egy kulcsát:
A fertőzött levél jellemzői:
W32/Mimail-H szintén john@ feladói nevet "használ"
Elődeihez hasonlóan zip formátumban terjed, Readnow.zip, mely egy tömörített futtatható állományt - a többi variánshoz hasonlóan - readnow.doc.scr - tartalmaz.. Szintén a Windows könyvtárba hozza létre a fertőző ágenst tartalmazó exe.tmp és readnow.zip, ill. zip.tmp, állományokat. Egy jelentős tulajdonsága miatt különbözik variánsaitól: a W32/Mimail-H képes arra, hogy generáljon és továbbküldjön "korrupt" readnow.zip másolatokat.
Egyébként a címgyűjtési módszer, a küldés megegyezik a többi Mimailéval. A Mimail-H DoS támadással fenyegeti a következő lapokat:
Itt meg kell állni egy pillanatra: a Mimail féreg és a Klez szaporodási, reprodukálási ciklusaival a VirusBuster munkatársa, Szappanos Gábor foglalkozott, és írt egy nagyszerű tanulmányt, amit a Vírus Bulletin adott ki. Részletesen elemzi a ciklusokat, azok kiszámítható idejét, és tökéletes pontossággal számította ki a vírustelítettség miatti fertőző hullám megszűnését. Egyben jelezte, hogy a vírus változatlan formában tömöríti magát egy ".zip" állományban, mely ki nem számítható okból és időben ismét aktív vírusokat terjeszt. Kiválóan jegyezte meg azt is, hogy a reprodukciós ciklusokat ismerve, annak ellenére, hogy a .zip állomány a "valódi vírust tartalmazza", feltehetően a fertőző - és vélelmezhetően hasonló intenzitással terjedő - ágens már nem a "valódi Mimail", hanem annak egy mutánsa lesz. Igaza volt...
Leírás:
W32/Agobot-AG egy IRC backdoor és hálózati Trojan. A W32/Agobot-AG a helyi hálózatokon terjed, azokat a gépeket megfertőzve, melyek erre csatlakozva gyenge jelszóval védettek. Amikor először fut, aktivizálódik a W32/Agobot-AG, a Windows system mappába másolja magát, és a rendszerleíró adatbázis kulcsait módosítja, további futása érdekében, a változások miatt minden rendszerindításkor a féregprogram is futni fog:
A W32/Agobot-AG futása közben egy specifikus csatornán megpróbál kapcsolódni egy távoli IRC szerverhez, ahonnan vélhetően irányítani tudják, vagy állományokat képes letölteni - így a féreg sikeres "visszacsatolása" miatt az említett csatornán az egész gép irányítása átvehető. A W32/Agobot-AG összegyűjti a system információkat és a gépeken futó játékok regisztrációs kulcsait. Ennyi információ elegendő ahhoz, hogy a fertőzött gépek "security" programjait leállítsa.
Leírás:
A W32/Yaha-X elődeihez hasonlóan a fertőzött gép SMTP funkcióját kihasználva küldi szét önmagát, és a fertőzéskor mind az áldozat gép megosztott és fix meghajtóira másolja magát. Bemásolja magát a Windows System mappába CMDE32.EXE és MEXPLORE.EXE néven, majd a gép újraindításakor az alábbi változásokat teszi, azért, hogy ezt követően állandó futását biztosítsa:
A féreg a win.ini-ben is bejegyzéseket változtat, mintegy duplán biztosítva futását.
A W32/Yaha-X képes kicserélni a valódi regiszrtációs bejegyzéseit is azon állományoknak, melyek tartalmazhatják, ill. melyekben aktívan fut.: az EXE, SCR, PIF, COM, BAT fájlokét:
A W32/Yaha-X egy szöveges állomány elhelyezésével képes a Windows mappa HOSTS és LMHOSTS állományaival, melyek az 127.0.0.1 IP címet tartalmazzák (localhost), meghívni a következő címeket:
A W32/Yaha-X a Microsoft Internet Explorer and Outlook Express IFRAME sebezhetőségét használja ki. Részletes analízise folyamatban van.
Leírás:
A W32/Spybot-W tipikus "peer-to-peer worm" ami hálózati meghajtókon, e-mailokkal, Messengeren és IRC-n terjed. Az automatikus futás érdekében a Windows mappa indítópultjába másolja magát wupdated.exe néven, így a wupdate (Windows Update Service) folyamatba regisztrálja magát. A féreg képes bemásolni magát egyszerű felhasználónevekkel és jelszavakkal hálózati meghajtók Windows system mappájába, mint "wupdated.exe", és a fertőzött gépen elindítja futtatja önmagát, mint Windows Update Service.
A féreg felhasználónév-jelszó kombinációi:
Az IRC-n történő terjedése miatt a populáris mIRC kliens gépet konfigurálja, olyan csatornára irányítva, melyet megfertőzött, és ahonnan akarva-akaratlanul letölti az áldozati gép. A W32/Spybot-W terjedhet még az MSN, AIM and Yahoo messengereken egyszerű üzenet formájában: "hey, check out this funny pic: http://www.rf-mods.com/bot.pif."
A W32/Spybot-W IRC backdoor (hátsóajtó) komponense billentyűzetfigyelő tulajdonságokkal (keylogging) is rendelkezik. Ezáltal kapcsolatba lépve egy bizonyos IRC szerverrel, megfertőzheti az oda csatlakozó gépeket is.
Leírás:
W32/Spybot-V "peer-to-peer worm and backdoor Trojan" ami a Windows system könyvtárba másolja magát iexplore.exe néven, és e mellett véletlenszerű neveken jegyzi magát az alábbi regisztrációs kulcsba:
A féreg létrehoz egy\kazaabackupfiles-t és bemásolja magát divx.exe, fdd.exe, fuck.exe, gay.exe, lesbiansex.exe, matrix.exe, pamela.exe, porn.exe, slsk.exe, torrent.exe , xvid.exe neveken, hasonlóan ugyanígy a regisztribe is.
HKCU\Software\Kazaa\LocalContent\Dir0
A W32/Spybot-V végül a backdoor funkciót kihasználva információkat szolgáltat a fertőzött gépekről.
Leírás:
A Troj/BDSinit-A (hátsóajtó) backdoor Trojan (trójai). A Troj/BDSinit-A bemásolja magát a Windows system mappába SVCINIT.EXE néven, és "természetesen" állandó futását biztosítandó a regisztrációs adatbázisba is bejegyzéseket tesz:
A Troj/BDSinit-A hasonló okból módosítja a WIN.INI bejegyzéseit. Troj/BDSinit-A kinyit egy tetszőleges portot, melyen fogadja az utasításokat. Ez is biztosítva a regisztri alábbi bejegyzését hozza létre:
Leírás:
A trójai az alábbi levéllel érkezik:
A Troj/Webber-C két komponensből összeálló hátsóajtó trójai. A csatolt részben lévő féreg az ún. loader komponense orosz lapról tölt le egy fájlt: neher.gif. A neher.gif nem GIF kép, hanem file, "jelszólopó" - a jelszavakat a trójai segítségével tölti le.
A jelszólopó trójai keresi a passwords cache-t a "cél gépen" (URL passwords, share passwords, dial-up passwords etc.), majd mindezt egy CGI scriptként küldi el egy bizonyos címre. Természetesen a fertőzött gépre a Windows system mappába változó nevű fájlok és dll-ek formájában másolja magát - természetesen bármikor működő formában.
Az automatikus futását az alábbi bejegyzés teszi lehetővé:
A Troj/Webber-C, hogy fokozza "tudását", proxyszerverként is funkcionálhat.
Leírás:
A Troj/Muly-A "backdoor Trojan", mely a háttérben futva, mint szervizalkalmazás képes megfertőzni távoli, autorizálatlan hálózati gépeket. A Trojan a Windows system mappába másolja magát DIVX.EXE néven, és az alábbi változást jegyzi be a regisztrációs adatbázisba - biztosítva ezzel folyamatos aktivitását:
A Troj/Muly-A egy tetszőleges portot (általában a 6000-t) kinyitva egy CGI script formájában állandó információkat küld a (http://69.56.204.206) weblapra.
A Troj/Muly-A szükség esetén erről a lapról frissíti (update) magát.
Ezenkívül megemlítendő, hogy a hálózati férgek - melyek közül több többször rendelkezik backdoor - aktivitása nőtt. Meglepetésszerű a trójaiak tömeges megjelenése, de esetükben sem beszélhetünk "egyszerű" trójairól. Mindegyik rendelkezik különleges - a fajtára nem jellemző - tulajdonsággal is. Végül nem hagyhatjuk ki a Lenti család Yaha-X egyedét, mely elődeihez hasonlóan azon "vendégek" közé tartozik, melyeknek nem örülünk.
A vírus neve: W32/Agobot-AF
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A W32/Agobot-AF egy hálózati féreg, amely jogosulatlan hozzáférést engedélyez a megfertőzött rendszerhez IRC csatornán keresztül A W32/Agobot-AF a gyenge jelszóval védett hálózati megosztásokon keresztül terjed, kihasználva az ismert DCOM RPC és RPC locator hibát. Ezek a hibák lehetővé teszik a féreg számára, hogy a távoli számítógépeken programot futtasson rendszerszintű hozzáféréssel. További információk a hibákról és arról, hogy milyen módon lehet a hibák okozta sebezhetőséget megszüntetni, a Microsoft MS03-026 és MS03-001 számú közleményében találhatóak.
A W32/Agobot-AF bemásolja magát a Windows system könyvtárba SCVHOST.EXE néven, és a következő registry bejegyzést hozza létre:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loader
= SCVHOST.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
= SCVHOST.EXE
= SCVHOST.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
= SCVHOST.EXE
W32/Agobot-AF megkísérli leállítani az antivírus és a biztonsági programok jelen lévő folyamatait.
A vírus neve: W32/Marq-A
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A W32/Marq-A e-mail féreg egy e-mail levelet küld, amely egy linket tartalmaz, a link aktiválásakor egy zelig.scr nevű fájl töltődik le, amely a férget tartalmazza. A féreg által küldött e-mailnek a következő jellegzetességei vannak.
Subject line: Il momento e' catartico
Message text: Ricevo e cortesemente inoltro,.... un premio per la genialita hanno reso mitico un salva schermo scaricalo, "poesie catartiche", che non sai cosa ti perdi
Ciao
Attached file: There will be no attachment to the email.
Message text: Ricevo e cortesemente inoltro,.... un premio per la genialita hanno reso mitico un salva schermo scaricalo, "poesie catartiche", che non sai cosa ti perdi
Ciao
Attached file: There will be no attachment to the email.
A "poesie catartiche" szövegrész tartalmazza a férget letöltő linket.
A W32/Marq-A elküldi magát a felhasználó Windows Address Bookjában talált összes e-mail címre. A W32/Marq-A megváltoztatja a Windows Marquee screensaverének a szövegét a következőkre "A volte ti sento cos vicinia...A volte ti sento cos lontana...Certo che hai proprio un cellulare di merda!".
A vírus neve : W32/Agobot-AC
A vírus típusa: W32-es féreg
Dátum: 2003. október 28.
A vírus típusa: W32-es féreg
Dátum: 2003. október 28.
A W32/Agobot-AC egy változata az Agobot családnak egy backdoor komponenssel kibővítve. Ez a verzió elhelyez egy regloadr nevű fájlt a Windows system folderben, és a következő registry bejegyzéseket hozza létre:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Registry Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Registry Loader
Registry Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Registry Loader
A vírus neve: W32/Randex-Q
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A vírus típusa: W32 féreg
Dátum: 2003. október 28.
A W32/Randex-Q egy hálózatokon terjedő féreg backdoor képességekkel, amely lehetővé teszi egy távoli felhasználó számára a megfertőzött számítógép irányítását egy IRC csatornán keresztül. A W32/Randex-Q véletlenszerűen generál egy IP címet és megpróbál csatlakozni hozzá az IPC$ megosztáson keresztül egyszerű jelszavak felhasználásával. Ha a csatlakozás sikeres volt, akkor a féreg elhelyezi a másolatát a következő könnytárakba:
\c$\winnt\system32\musirc4.71.exe
\Admin$\system32\musirc4.71.exe
\Admin$\system32\musirc4.71.exe
Ezek után a W32/Randex-Q egy ütemterv szerint indítja el a távoli számítógépeken elhelyezett fájlokat. Minden alkalommal, amikor a féreg fut, megpróbál csatlakozni egy távoli IRC szerverhez egy külön csatornán keresztül. A féreg ilyenkor a háttérben fut, mint egy szerverfolyamat, és figyeli a beérkező utasításokat. A féreg első futásakor elhelyez egy Musirc4.71.exe nevű fájlt a Windows rendszer könyvtárba, és létrehozza a következő registry bejegyzéseket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Lehetséges registry bejegyzések
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Lehetséges registry bejegyzések
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MusIRC (irc.musirc.com) client = musirc4.71.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MusIRC (irc.musirc.com) client = musirc4.71.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MusIRC (irc.musirc.com) client = musirc4.71.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MeTaLRoCk (irc.musirc.com) has sex with printers = metalrock-is-gay.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MeTaLRoCk (irc.musirc.com) has sex with printers = metalrock-is-gay.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows MeTaLRoCk service = metalrock.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MeTaLRoCk (irc.musirc.com) has sex with printers = metalrock-is-gay.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows MeTaLRoCk service = metalrock.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows MeTaLRoCk service = metalrock.exe
Windows MeTaLRoCk service = metalrock.exe
A vírus neve: VBS/Flea-A
A vírus típusa: Visual Basic Script féreg
Dátum: 2003. október 28.
A vírus típusa: Visual Basic Script féreg
Dátum: 2003. október 28.
A VBS/Flea-A HTML e-mailek útján terjed. A féreg a HTML levél aláírásaként érkezik. Amikor a HTML e-mailben lévő betöltődik, a HTML kódban lévő javascript lefut. A javascript ezek után betölt egy másik weblapot, amelyen egy VB Script fut. A VB Script elhelyez egy fájlt a fürtözött gépen C< véletlen szám >.HTM néven a Windows folderben. Ez a fájl lesz beállítva aláírásként az Outlook Expressben.
A vírus neve : W32/Holar-I
A vírus típusa: W32-es féreg
Dátum: 2003. október 30.
A vírus típusa: W32-es féreg
Dátum: 2003. október 30.
A W32/Holar-I egy internetes féreg, amely fájlmegosztásokon, peer-to-peer hálózatokon és e-maileken keresztül terjed. A terjedéshez szükséges e-mail címeket a helyi gépeken lévő helyekről szerzi be, mint például az Outlook address bookja és TXT, HTML,HTM és EML fájlok. A féreg által küldött e-mailek tárgysorának az alábbi tartalma lehetséges:
Fw:
Re:
Check this out ;)
Enjoy!
This is all i can send
Have Fun :)
You gonna love it
Re:
Check this out ;)
Enjoy!
This is all i can send
Have Fun :)
You gonna love it
Here is what u wanted:)
Wait for more :)
looool
Take a look
Never mind !
Attatchments
See the attatched file
gift :)
Wait for more :)
looool
Take a look
Never mind !
Attatchments
See the attatched file
gift :)
Surprise!
save it for hard times
Happy Times :)
Useful
Very funny
Try it
save it for hard times
Happy Times :)
Useful
Very funny
Try it
you have to see this!
emazing!
emazing!
A csatolt fájl tartalmazza a futásra kész férget.
A W32/Holar-I megkeresi a registryben a KaZaA megosztott mappájának az elérési útját, és erre a helyre bemásolja magát PIF, EXE, COM, BAT vagy SCR kiterjesztésekkel. (Például:
A smtp.ocx egy létező szoftverkomponens, és ezért a felismerés nem terjed ki erre a fájlra.
A következő registry bejegyzést hozza létre a féreg, hogy a rendszer minden indulásakor elinduljon.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explore
=:\%system%\explore.exe
A alapértelmezett Internet Explorer startlapot a következőre változtatja.
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
= http://www.geocities.com/yori_mrakkadi
=
A alapértelmezett Internet Explorer startlapot a következőre változtatja.
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
= http://www.geocities.com/yori_mrakkadi
A következő registry bejegyzéseket hozza létre azzal a szándékkal, hogy a fertőzést jelezze és számlálja a vírusos rendszerindításokat.
HKLM\Software\Microsoft\Windows\a
HKCU\DeathTime
HKCU\DeathTime
A HKCU\DeathTime registry bejegyzés tárolja azt a számot, ahány alkalommal a W32/Holar-I futott. Amikor az érték eléri a harmincat, a számítógép nem válaszol a bejövő üzenetekre, és a következő üzenetet írja ki a teljes képernyőre vörössel: "! have noth!na say bam st!ll ZaCker !" Ez történik minden alkalommal. amikor a számítógép elindul, egészen a féreg eltávolításáig.
A vírus neve: W32/Sober-Enc
A vírus típusa: W32 féreg
Dátum: 2003. október 30.
A vírus típusa: W32 féreg
Dátum: 2003. október 30.
A Sophos észlelte, hogy a W32/Sober-Enc a W32/Sober-A mintája, mivel az eredeti base64 kódolású. A fájl a jelenlegi állapotban nem veszélyes.
A vírus neve: W32/Mimail-C (már részletesen írtam róla)
A vírus típusa: W32 féreg
A vírus típusa: W32 féreg
Dátum: 2003. október 31.
A W32/Mimail-C féreg e-mailen keresztül terjed a fertőzött gépeken lévő e-mail címeket használva. Az összes összegyűjtött címet az eml.tmp fájlban tárolja a Windows könyvtárban. Azért, hogy minden alkalommal elinduljon, amikor a Windows indul, a W32/Miail-C bemásolva magát netwatch.exe néven a Windows folderbe és registrybe a következő bejegyzést illeszti be:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\netwatch32
Az e-maileket a következő jellegzetességekkel küldi.
Subject line: Re[2]: our private photos
Message text:
Hello Dear!
Az e-maileket a következő jellegzetességekkel küldi.
Subject line: Re[2]: our private photos
Message text:
Hello Dear!
Finaly i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
Attached file: photos.zip
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
Attached file: photos.zip
Photos.zip egy tömörített fájl, amely egy futtatható fájlt tartalmaz, amelynek a neve photos.jpg.exe.
W32/Mimail-E
Alias: I-Worm.Mimail.e
Fajta: Win32 worm
Alias: I-Worm.Mimail.e
Fajta: Win32 worm
Leírás:
A Mimail-E hasonlóan elődeihez, ill. mutánsaihoz elsősorban levéllel terjed, de minden csatornát ki tud használni a fertőzésre. A levélcímeket a fertőzött gép címjegyzéke mellett a htm-ekből, a cookie-kből gyűjti, és küldi el minden címre másolatát.
Annak érdekében, hogy minden indításkor fusson, a rendszerleíró adatbázis egyik kulcsát írja át:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Cnfrm32
A fertőzött levél jellemzői:
Tárgy: don't be late!<30 spaces>
Üzenet:
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
Csatolt fájl : readnow.zip
Üzenet:
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
Csatolt fájl : readnow.zip
A W32/Mimail-egy véletlenszerűen alkotott címről, általában john@
avi, bmp, cab, com, dll, exe, gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip
A W32/Mimail-E DoS (denial of service) támadást próbál indítani azokról a helyekről., melyeket megfertőzött.
A célpontok:
spews.org
www.spews.org
spamhaus.org
www.spamhaus.org
spamcop.net
www.spamcop.net
Másodlagos célpontok:
fethard.biz
www.fethard.biz
spews.org
www.spews.org
spamhaus.org
www.spamhaus.org
spamcop.net
www.spamcop.net
Másodlagos célpontok:
fethard.biz
www.fethard.biz
fethard-finance.com
www.fethard-finance.com
www.fethard-finance.com
W32/Mimail-F
Alias: I-Worm.Mimail.g, W32/Mimail.gen@MM
Fajta: Win32 worm
Alias: I-Worm.Mimail.g, W32/Mimail.gen@MM
Fajta: Win32 worm
Leírás:
A W32/Mimail-F hasonlóan az -E változathoz leveleken terjed, a címeket ugyanúgy minden lehetséges fájlból begyűjti, és a "címbázisát" eml.tmp fájlban tárolja a Windows könyvtárban. Állandófutása érdekében a Windows start-up mappájába másolja magát sysload32.exe néven, ezenkívül a regisztrációs adatbázis alábbi kulcsát módosítja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemLoad32
A fertőzött levél jellemzői:
Tárgy: don't be late!<30 spaces>
Üzenet :
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
Csatolt állomány: readnow.zip
Üzenet :
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
Csatolt állomány: readnow.zip
A W32/Mimail-F tulajdonsága, levélküldése, a kreált feladó, a címek gyűjtése a Mimail-E-vel megegyezik. A W32/Mimail-F megpróbál előkészíteni egy DoS támadást (denial of service attack) a mysupersales.com és www.mysupersales.com lapok ellen..
W32/Mimail-H
Fajta: Win32 worm
Fajta: Win32 worm
A vírust a Sophos detektálta és analizálta november 3-án GMT 10:13-kor úgy, hogy más vírusinformációs állomány szűrte ki.
Leírás:
A W32/Mimail-H tulajdonságai kis eltérésekkel, átfedésekkel megegyeznek az elődeivel. Az állandó futás miatt szintén módosítja a rendszerleíró adatbázis egy kulcsát:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Cn323
A fertőzött levél jellemzői:
Tárgy: don't be late!<30 spaces>
Szöveg:
Will meet tonight as we agreed, because on Wednesday I don't think i'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.
Csatolt állomány: readnow.zip
Szöveg:
Will meet tonight as we agreed, because on Wednesday I don't think i'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.
Csatolt állomány: readnow.zip
W32/Mimail-H szintén john@
Elődeihez hasonlóan zip formátumban terjed, Readnow.zip, mely egy tömörített futtatható állományt - a többi variánshoz hasonlóan - readnow.doc.scr - tartalmaz.. Szintén a Windows könyvtárba hozza létre a fertőző ágenst tartalmazó exe.tmp és readnow.zip, ill. zip.tmp, állományokat. Egy jelentős tulajdonsága miatt különbözik variánsaitól: a W32/Mimail-H képes arra, hogy generáljon és továbbküldjön "korrupt" readnow.zip másolatokat.
Egyébként a címgyűjtési módszer, a küldés megegyezik a többi Mimailéval. A Mimail-H DoS támadással fenyegeti a következő lapokat:
spamhaus.org
www.spamhaus.org
spews.org
www.spews.org
www.spamhaus.org
spews.org
www.spews.org
Itt meg kell állni egy pillanatra: a Mimail féreg és a Klez szaporodási, reprodukálási ciklusaival a VirusBuster munkatársa, Szappanos Gábor foglalkozott, és írt egy nagyszerű tanulmányt, amit a Vírus Bulletin adott ki. Részletesen elemzi a ciklusokat, azok kiszámítható idejét, és tökéletes pontossággal számította ki a vírustelítettség miatti fertőző hullám megszűnését. Egyben jelezte, hogy a vírus változatlan formában tömöríti magát egy ".zip" állományban, mely ki nem számítható okból és időben ismét aktív vírusokat terjeszt. Kiválóan jegyezte meg azt is, hogy a reprodukciós ciklusokat ismerve, annak ellenére, hogy a .zip állomány a "valódi vírust tartalmazza", feltehetően a fertőző - és vélelmezhetően hasonló intenzitással terjedő - ágens már nem a "valódi Mimail", hanem annak egy mutánsa lesz. Igaza volt...
W32/Agobot-AG
Fajta: Win32 worm
Fajta: Win32 worm
Leírás:
W32/Agobot-AG egy IRC backdoor és hálózati Trojan. A W32/Agobot-AG a helyi hálózatokon terjed, azokat a gépeket megfertőzve, melyek erre csatlakozva gyenge jelszóval védettek. Amikor először fut, aktivizálódik a W32/Agobot-AG, a Windows system mappába másolja magát, és a rendszerleíró adatbázis kulcsait módosítja, további futása érdekében, a változások miatt minden rendszerindításkor a féregprogram is futni fog:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
A W32/Agobot-AG futása közben egy specifikus csatornán megpróbál kapcsolódni egy távoli IRC szerverhez, ahonnan vélhetően irányítani tudják, vagy állományokat képes letölteni - így a féreg sikeres "visszacsatolása" miatt az említett csatornán az egész gép irányítása átvehető. A W32/Agobot-AG összegyűjti a system információkat és a gépeken futó játékok regisztrációs kulcsait. Ennyi információ elegendő ahhoz, hogy a fertőzött gépek "security" programjait leállítsa.
W32/Yaha-X
Alias: I-Worm.Lentin.s, W32/Yaha.aa@MM, Win32/Yaha.AF, W32.Yaha.AE
Fajta: Win32 worm
Alias: I-Worm.Lentin.s, W32/Yaha.aa@MM, Win32/Yaha.AF, W32.Yaha.AE
Fajta: Win32 worm
Leírás:
A W32/Yaha-X elődeihez hasonlóan a fertőzött gép SMTP funkcióját kihasználva küldi szét önmagát, és a fertőzéskor mind az áldozat gép megosztott és fix meghajtóira másolja magát. Bemásolja magát a Windows System mappába CMDE32.EXE és MEXPLORE.EXE néven, majd a gép újraindításakor az alábbi változásokat teszi, azért, hogy ezt követően állandó futását biztosítsa:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MS Explorer =\MEXPLORE.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MS Explorer =\MEXPLORE.EXE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
MS Explorer =\MSEXPLORE.EXE
MS Explorer =
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MS Explorer =
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
MS Explorer =
A féreg a win.ini-ben is bejegyzéseket változtat, mintegy duplán biztosítva futását.
A W32/Yaha-X képes kicserélni a valódi regiszrtációs bejegyzéseit is azon állományoknak, melyek tartalmazhatják, ill. melyekben aktívan fut.: az EXE, SCR, PIF, COM, BAT fájlokét:
HKCR\exefile\shell\open\command
HKCR\scrfile\Shell\open\command
HKCR\piffile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\scrfile\Shell\open\command
HKCR\piffile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\comfile\shell\open\command
A W32/Yaha-X egy szöveges állomány elhelyezésével képes a Windows mappa HOSTS és LMHOSTS állományaival, melyek az 127.0.0.1 IP címet tartalmazzák (localhost), meghívni a következő címeket:
www.sophos.com
www.symantec.com
www.microsoft.com
www.trendmicro.com
www.avp.ch
www.mcafee.com
www.pandasoftware.com
www3.ca.com
www.ca.com
www.symantec.com
www.microsoft.com
www.trendmicro.com
www.avp.ch
www.mcafee.com
www.pandasoftware.com
www3.ca.com
www.ca.com
A W32/Yaha-X a Microsoft Internet Explorer and Outlook Express IFRAME sebezhetőségét használja ki. Részletes analízise folyamatban van.
W32/Spybot-W
Fajta: Win32 worm
Fajta: Win32 worm
Leírás:
A W32/Spybot-W tipikus "peer-to-peer worm" ami hálózati meghajtókon, e-mailokkal, Messengeren és IRC-n terjed. Az automatikus futás érdekében a Windows mappa indítópultjába másolja magát wupdated.exe néven, így a wupdate (Windows Update Service) folyamatba regisztrálja magát. A féreg képes bemásolni magát egyszerű felhasználónevekkel és jelszavakkal hálózati meghajtók Windows system mappájába, mint "wupdated.exe", és a fertőzött gépen elindítja futtatja önmagát, mint Windows Update Service.
A féreg felhasználónév-jelszó kombinációi:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
1
111
123
1234
123456
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
1
111
123
1234
123456
654321
admin
administrator
asdf
asdfgh
database
guest
hidden
admin
administrator
asdf
asdfgh
database
guest
hidden
owner
pass
pass123
password
password123
root
secret
server
sql
pass
pass123
password
password123
root
secret
server
sql
sqlagent
system
user
wwwadmin
system
user
wwwadmin
Az IRC-n történő terjedése miatt a populáris mIRC kliens gépet konfigurálja, olyan csatornára irányítva, melyet megfertőzött, és ahonnan akarva-akaratlanul letölti az áldozati gép. A W32/Spybot-W terjedhet még az MSN, AIM and Yahoo messengereken egyszerű üzenet formájában: "hey, check out this funny pic: http://www.rf-mods.com/bot.pif."
A W32/Spybot-W IRC backdoor (hátsóajtó) komponense billentyűzetfigyelő tulajdonságokkal (keylogging) is rendelkezik. Ezáltal kapcsolatba lépve egy bizonyos IRC szerverrel, megfertőzheti az oda csatlakozó gépeket is.
W32/Spybot-V
Fajta: Win32 worm
Fajta: Win32 worm
Leírás:
W32/Spybot-V "peer-to-peer worm and backdoor Trojan" ami a Windows system könyvtárba másolja magát iexplore.exe néven, és e mellett véletlenszerű neveken jegyzi magát az alábbi regisztrációs kulcsba:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Winsock2 driver
= iexplore.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
= iexplore.exe
= iexplore.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
= iexplore.exe
A féreg létrehoz egy
HKCU\Software\Kazaa\LocalContent\Dir0
A W32/Spybot-V végül a backdoor funkciót kihasználva információkat szolgáltat a fertőzött gépekről.
Troj/BDSinit-A
Alias: BackDoor-BAM, Win32/Fakesvc.C, Backdoor.Sinit, BKDR_SINIT.A
Fajta: Trojan
Alias: BackDoor-BAM, Win32/Fakesvc.C, Backdoor.Sinit, BKDR_SINIT.A
Fajta: Trojan
Leírás:
A Troj/BDSinit-A (hátsóajtó) backdoor Trojan (trójai). A Troj/BDSinit-A bemásolja magát a Windows system mappába SVCINIT.EXE néven, és "természetesen" állandó futását biztosítandó a regisztrációs adatbázisba is bejegyzéseket tesz:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SVC Service
A Troj/BDSinit-A hasonló okból módosítja a WIN.INI bejegyzéseit. Troj/BDSinit-A kinyit egy tetszőleges portot, melyen fogadja az utasításokat. Ez is biztosítva a regisztri alábbi bejegyzését hozza létre:
HKLM\Software\Microsoft\DirectPlugin\EngineName
Troj/Webber-C
Alias:TrojanProxy.Win32.Webber.a, BackDoor-AXJ, TrojanDownloader.Win32.Small.bu
Fajta: Trojan
Alias:TrojanProxy.Win32.Webber.a, BackDoor-AXJ, TrojanDownloader.Win32.Small.bu
Fajta: Trojan
Leírás:
A trójai az alábbi levéllel érkezik:
From: " Account Manager " accounts_manager@citibank.com
Message body:
Dear Sir!
Thank you for your online application for a Home Equity Loan.
In order to be approved for any loan application we pull your
Credit Profile and Chexsystems information, which didn't satisfy
our minimum needs. Consequently, we regret to say that we cannot
approve you for Home Equity Loan at this time.
Attached are copy of your Credit Profile and Your Application that
you submitted with us. Please take a close look at it, you will
Message body:
Dear Sir!
Thank you for your online application for a Home Equity Loan.
In order to be approved for any loan application we pull your
Credit Profile and Chexsystems information, which didn't satisfy
our minimum needs. Consequently, we regret to say that we cannot
approve you for Home Equity Loan at this time.
Attached are copy of your Credit Profile and Your Application that
you submitted with us. Please take a close look at it, you will
receive hard copy by mail withing next few days.
Attached file: www.citybankhomeloan.htm.pif
Attached file: www.citybankhomeloan.htm.pif
A Troj/Webber-C két komponensből összeálló hátsóajtó trójai. A csatolt részben lévő féreg az ún. loader komponense orosz lapról tölt le egy fájlt: neher.gif. A neher.gif nem GIF kép, hanem file, "jelszólopó" - a jelszavakat a trójai segítségével tölti le.
A jelszólopó trójai keresi a passwords cache-t a "cél gépen" (URL passwords, share passwords, dial-up passwords etc.), majd mindezt egy CGI scriptként küldi el egy bizonyos címre. Természetesen a fertőzött gépre a Windows system mappába változó nevű fájlok és dll-ek formájában másolja magát - természetesen bármikor működő formában.
Az automatikus futását az alábbi bejegyzés teszi lehetővé:
HKCR\CLSID\79BF9088-19CE-715D-D85A-216290C5B738\InProcServer32
HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\Web Event Logger
HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\Web Event Logger
A Troj/Webber-C, hogy fokozza "tudását", proxyszerverként is funkcionálhat.
Troj/Muly-A
Fajta: Trojan
Fajta: Trojan
Leírás:
A Troj/Muly-A "backdoor Trojan", mely a háttérben futva, mint szervizalkalmazás képes megfertőzni távoli, autorizálatlan hálózati gépeket. A Trojan a Windows system mappába másolja magát DIVX.EXE néven, és az alábbi változást jegyzi be a regisztrációs adatbázisba - biztosítva ezzel folyamatos aktivitását:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\DivX Updater
= C:\\DIVX.EXE
= C:\
A Troj/Muly-A egy tetszőleges portot (általában a 6000-t) kinyitva egy CGI script formájában állandó információkat küld a (http://69.56.204.206) weblapra.
A Troj/Muly-A szükség esetén erről a lapról frissíti (update) magát.
Kapcsolódó cikkek
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- A Sophos Anti-Virus for Windows Vista VB 100% díjat nyert
- A Sophos már a Windows Vista-t is védi
- Fertőzött e-maileket küldhet szét PC-inkről az Opnis féreg legújabb variánsa
- Lejárt a globális víruskitörések ideje
- Továbbra is fejtörést okoz a Polip.A vírus
- Minősített vírusvédelem linuxos fájlszerverek számára
- Macintosh felhasználók váltak a vírusírók újabb célpontjává
- Sophos novemberi vírustoplista
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.
2024. november 22. 11:39