Moja jutra su sve jasnija,
Moja snaga je prodornija,
Moje rijeci silno odjekuju
Moj mac je ostriji,
Moje noci su sve hladnije.
...ali dan je blizi kad ce
ljudi shvatiti da su samo,
i nista drugo nego ono sto
sam i JA!

После вывода сообщения червь "засыпает" на 2 минуты, затем отсылает себя всем отправителям писем, которые находятся в папке "Входящие" установленного по умолчанию MAPI клиента.

Отсылаемые червём e-mail сообщения выглядят следующим образом:

Тема: Bin Ladenov zivot.
Прикреплённый файл: Bin Ladenov Zivot.exe
Тело письма:
Ako jos do sada niste znali ko je Bin Laden onda
vjerovatno cete naci ovaj dokument interesantnim
u kojem je prikazano nekoliko vaznih momenata u,
u njegovom zivotu, cak dok je jos radio pri CIA!

IRC-Worm.Radex

Вирус-червь. Распространяется через IRC каналы в виде BAT файла. Червь является скрипт файлом BAT, имеет размер 3000 байт.

Червь копирует себя в следующие BAT файлы:

C:\Windows\winstart.bat
C:\Windows\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\Win95\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\Win98\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\WinME\LINUX_SH_DOS_BAT_WIN_JS.bat

Далее он создает на диске файл JS-файл:
LINUX_SH_DOS_BAT_WIN_JS.js, который затем запускает на выполнение.

JS файл выводит диалоговое окно с заголовком и содержимым:

Radix16/SMF
SH-BAT-JS

Затем червь отсылает письмо с вирусом на единственный адрес электронной почты:

Radix16@atlas.cz

Зараженное письмо содержит:

Заголовок: SHBATJS
Текст: crazzy bat :) testing MS OTLOOK in the (WORLD)
Имя вложения: LINUX_SH_DOS_BAT_WIN_JS.bat

Червь также создает файл C:\MIRC\SCRIPT.INI. INI файл рассылает BAT компоненту червя всем входящим в каналы IRC.

Инсталляция

Червь добавляет в начало файла WIN.INI строку, которая запускает его JS-компоненту при каждом старте Windows.

Червь содержит строки текста:

# /bin/sh
-=LINUX START=-
-=DOS/WIN START=-
ONLY SAMPLE (TEST) LINUX SH DOS BAT WIN JS ...........
WoRlD iS mY

I-Worm.Toil

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, заражает приложения Win32 на локальном компьютере и на сетевых дисках. Для заражения файлов использует библиотеку INVICTUS.

Структура зараженных файлов выглядит следующим образом:

г=====================-
¬ Зараженный ¬
¬ файл-носитель ¬
¬ ¬
¬---------------------¬
¬¬Полиморфик-код ¬¬
¬¬библиотеки ¬¬
¬¬INVICTUS ¬¬
¬+-------------------+¬
¬¬Тело INVICTUS.DLL ¬¬
¬+-------------------+¬
¬¬Тело червя ¬¬
¬L--------------------¬
L=====================-

При запуске зараженного файла (сразу, если стартовый адрес указывает на полиморфик-код INVICTUS, или в зависимости от структуры файла-носителя, если при заражении использовался метод скрытия стартового адреса вируса) управление передается на полиморфик-код библиотеки INVICTUS.

Данный код расшифровывает и создает на диске файл-библиотеку INVICTUS.DLL и сам червь в каталоге %TEMP% со случайным именем, и запускает червя.

Файл-червь является приложением Windows (PE EXE-файл), имеет размер около 8K (упакован UPX) или 15K в распакованном виде, написан на ассемблере.

Инсталляция

При запуске червь инсталлирует себя в систему, и затем активизирует процедуры рассылки писем, заражения других Win32-файлов и графические спец-эффекты.

При установке в заражаемой системе, червь копирует себя в папку Windows со случайным именем и записывает в файл SYSTEM.INI следующие значения:

[boot]
shell=Explorer.exe %worm name%

что обеспечивает ему авто-запуск при каждом рестарте Windows (только под Win9x/ME).

Рассылка зараженных писем

Для поиска e-mail адресов червь использует каталог "ICQ White pages" на сайте http://wwp.icq.com. Червь обращается к этому каталогу с поисковым запросом, а затем извлекает из результатов поиска (из HTML-страницы с результатами поиска) адреса электронной почты. Слова для поискового запроса в каталоге выбираются из следующего списка:

MPB
sex
history
mp3
friends
airplane
ferrari
orgasm
friendship
fuck
love
sports
party
pussy
USA
audio

По обнаруженным адресам затем рассылаются зараженные письма. При рассылке используется прямое соединение с SMTP-сервером, который выбирается червем специальным образом.

Заражённые письма имеют пустое тело, тема сообщения выбирается из списка:

Bin Laden toillete paper !!
Sadam hussein & BinLaden IN LOVE
Bush fucks Bin Laden hardly <:P
Is Osama Bin Laden BAD-LOVED ?
USA against Geneva Convention ?
Anthrax mail is true(not a joke)
Biological weapons: Preventing !
Fucking a mullah in Islamabad
O papel higienico do Bin Laden !
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <:P
Serс que o Osama щ mal-amado ?
EUA agride convenчao de genova ?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se !
Fudendo um mulс em Islamabad
Bin Landen Toalettpapper
Sadam hussein & BinLaden фr f¦rфlsk
ade Bush knullar Bin Laden hхrt <:P
фr Osama Bin Laden inte фlskad ?
-r USA emot Geneve ¦verenskom melsen ?
Anthrax brevet existerar(det фr inget skфmt)
Biologiska vapen: F¦rhindra !
Knulla en muslim i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique р donf Bin Laden <:P
Osama Bin Laden Mal Aimщ ?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: Prщventions!
Baiser un mullah р Islamabad
Xarti toualetas Bin Landen !! Hussein & Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles me Antraka,einai gegonos
Biologika wpla: Prostasia !
Gamontas ena Moula sto Islamabad

Имя вложения: BINLADEN_BRASIL.EXE

В письмах червь использует брешь IFRAME в защите Microsoft Internet Explorer, поэтому он может запуститься автоматически при просмотре заражённого письма в почтовом клиенте.

Заражение файлов на локальном диске

Червь заражает следующие файлы в папке Windows:

HH.EXE NETSTAT.EXE CALC.EXE

Также, он ищет все программы, описанные в журнале приложений (applog) Windows (большинство приложений, когда-либо запускавшихся на компьютере, попадают в этот журнал), и заражает их.Затем червь ищет в памяти запущенную копию файла EXPLORER.EXE, закрывает её и заражает файл.

Заражение файлов в локальной сети

Червь перебирает сетевые ресурсы (удаленные диски и каталоги) и подключается к ним. Червь пытается скопировать себя со случайным именем на сетевые ресурсы в папки:

\WIN
\WIN2000
\WIN2K
\WINNT
\WINDOWS
\WINXP

и зарегистрироваться на удалённой системе, чтобы запускаться автоматически при старте Windows (работает только в Windows 9x/ME).

Спец-эффекты

В зависимости от случайного счётчика, червь выводит на экран случайное количество раз случайно выбранным цветом строку:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOD SHIVA TUPA DIOS DEUS

и выводит сообщение:

Затем вирус "засыпает" на 10 секунд, после чего "перемешивает" содержимое экрана.

Прочее

Червь ищет и пытается закрыть окна из списка:

Antiviral Toolkit Pro
AVP Monitor
Norton AntiVirus
Zone Alarm
Freedom
Avconsol
McAfee VirusScan
Vshwin32

Червь создаёт в реестре следующий ключ:

HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\BinLaden

и записывает в него значения, которые открывают диск C: на полный доступ по сети.

Червь удаляет ключ реестра:

HKLM\System\CurrentControlSet\Services\VxD\NAVAP

и следующее значение реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Norton Auto-Protect

Червь записывает сохранённые в Windows пароли доступа к сетевым ресурсам в %WINDOWS%\BinLaden.ini.

Червь содержит в себе текст:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna,
Z0mbie, all ppl in #vxers
And of course, Osama Bin Laden. Keep the good job with
Antrhax, man !
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Coded by NBK[MATRiX]
Every brazilian HATES USA ... Just try to get Amazon FROM US

I-Worm.Fintas

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 36K, написан на Visual Basic.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При запуске червь инсталлирует себя в систему. При этом он копирует себя:

в каталог Windows, системный каталог Windows и в корень диска C: - под именем `.EXE
в каталог Windows TEMP, в зависимости от версии червя под именем:
FF8.EXE
FunnyFlash.EXE
в корневой каталог диска C: под именем FamilyMovie.exe

Файл C:\`.EXE затем регистрируется в ключах авто-запуска системного реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
723 = c:\`.exe>

и в файле SYSTEM.INI, в секции [boot], в инструкции "shell".

Рассылка писем

При рассылке зараженных писем червь использует функции и базу адресов MS Outlook.

Тема, Текст и имя Вложения различны в известных версиях червя:

Тема/Текст/Вложение:

Microsoft Shockwave Flash Movie
Check "Family.exe" then you could see Microsoft family's Shockwave Flash Movie
FamilyMovie.exe
CoolGame From %UserName%
the cool game about Final Fantasy VIII :)
FF8.EXE
FunnyFlashMovie From %UserName%
the flash movie,check it !:)
FunnyFlash.EXE

где %UserName% является именем пользователя зараженной машины.

I-Worm.Fintas.a

После рассылки писем этот вариант червя уничтожает файлы в каталоге Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMAND\EBD\io.sys; затем файлы: C:\IO.SYS, C:\NETWORK.LOG.

Затем выводит сообщение:

и создает и запускает два скрипт-файла:

C:\LEO.VBS - ищет и записывает строку "Hi! I am LEO" в файлы с расширениями: .html .htm .asp .php .dll .com .txt .doc .xls .exe

C:\PASSWD.VBS - ищет файлы с паролями (.PWL-файлы) и отсылает их на адрес "leotam888@china.com" с темой "mypasswd".

Проявления - прочие версии червя

По 23-м числам ежемесячно червь активизирует процедуру, которая:

добавляет к файлу C:\MSDOS.SYS команду, блокирующую прерывание процесса загрузки компьютера
записывает в файл C:\AUTOEXEC.BAT команды форматирования жесткого диска

(описанные выше действия проявляются только под Win9x).

Затем червь выводит сообщение:

I-Worm.Paukor

Вирус-червь. Распространяется через Интернет в виде файла FILES.EXE, прикрепленного к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 450K, написан на Delphi.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При активизации червь создает дополнительные файлы-компоненты в каталоге Windows, копирует туда свой основной файл (FILES.EXE) и запускает процедуру дальнейшего распространения.

"Тема" и "Текст" в зараженных письмах выбираются червем из нескольхих возможных вариантов. В тексте писем первая и последние строки выбираются произвольно также из нескольких вариантов:

первая строка: "Hi!" или "Hello,"
последние строки: пустая строка, либо:
"Regards,"
"Your friend,"
"Best Regards"
"Kind Regards"

и затем следует имя пользователя, как оно оказывается в электронных письмах.

"Тема" и "Текст" выбираются из вариантов:

"Тема": Your loved one in indecent pictures :(
"Текст":
Hi! или Hello,
I'm sorry I have to send you these compromising pictures with the one you love, or you loved. You will know where they were taken as soon as you see them.
I' compressed it as a self extracting archive because I din't knew if you have WinZip. When you run it, it should display the extract dialog. I'm really sorry I had to be the one who told you about this.
Regards, или Your friend, или Best Regards или Kind Regards
"Тема": Surprise for you!
"Текст":
Hi! или Hello,
I have a surprise for you. It's a electronic card made by myself :). It contains some graphics and sound and I had to compress it as self extracting archive. :))
I hope you like it, please see the attached file.
Regards, или Your friend, или Best Regards или Kind Regards
"Тема": Pictures from the last party
"Текст":
Hi! или Hello,
Here are the pictures from the last party. Some of them are so funny! I compressed them as self extracting archive as they were too large, over 2.1 Mb! :))
I made the archive self extracting, because I din't knew if you have WinZip. When you run it, it should display the extract dialog.
Please let me know what you think. :)
Regards, или Your friend, или Best Regards или Kind Regards
"Тема": No subject
"Текст":
Hi! или Hello,
Here are some files related to what we have talk about.
I made the archive self extracting, because I din't knew if you have WinZip. When you run it, it should display the extract dialog.
Please let me know what you think. :)
Regards, или Your friend, или Best Regards или Kind Regards

Основная компонента

При старте своей основной компоненты FILES.EXE червь копирует себя в каталог Windows и также создает дополнительно в том же каталоге три файла:

SYSTRAY.EXE - 66 Kb
CWAB.EXE - 341 Kb
MSP.DLL - 20 Kb

Все эти файлы также являются PE EXE-файлами Windows, написанными на Delphi.

Затем червь запускает EXE-файлы (SYSTRAY.EXE и CWAB.EXE) на выполнение и выводит сообщение:

Компонента CWAB

При запуске эта компонента рассылает зараженные письма. Для этого она определяет местоположение WAB-базы (Windows Address Book), считывает из нее электронные адреса "жертв", определяет SMTP-адрес почтового сервера и стартует процедуру рассылки писем.

Эта компонента также отсылает результат работы клавиатурного шпиона (см.следующую компоненту). Данные отсылаются на адреса "хозяина" червя на домены @yahoo.com и @softhome.com.

Данная компонента червя рассчитана только на работу под управлением основной компоненты FILES.EXE. При её запуске как отдельного приложения она выводит сообщение:

Компоненты SYSTRAY и MSP

Являются клавиатурным шпионом (следят за нажатиями на клавиши и сохраняют эту информацию в файле MSP.DAT в каталоге Windows).

При старте SYSTRAY.EXE также регистрируется в ключе авто-запуска системного реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Затем он активизирует библиотеку MSP.DLL, которая собственно и ведет перехват клавиатуры.

Эта компонента содержит текст-"копирайт":

PayK Worm
Copyright (c) 2001 by TheShadow
Disclamer: This program has been made for educational and research porposes only.

I-Worm.Quamo

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57K, написан Visual Basic.

Зараженные письма содержат различные строки, которые случайно выбираются из вариантов:

Заголовок выбирается из списка:

Something very special

I know you will like this

Yes, something I can share with you

Wait till you see this!

A brand new game! I hope you enjoy it

Варианты текста письма:

Hey you, take a look at the attached file. You won't believe your eyes when you open it!
You like games like Quake? You will enjoy this one.
Did you see the pictures of me and my battery operated boyfriend?
My best friend,
This is something you have to see!
Till next time
Is Internet that safe?
Check it out

Имя вложения:

quake4demo.exe
setup.exe
honey.exe

Запуск червя

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом червь стартует процедуру инсталляции себя в систему и выводит сообщение:

При нажатии на [Next] ничего не происходит и приложение-червь прекращает свою работу. При нажатии на [Cancel] стартует процедура рассылки зараженных писем.

Инсталляция

Червь создает новый каталог C:\EIRAM и копирует себя в систему с именами:

c:\eiram\quake4demo.exe
f:\quake4demo.exe (если такой диск есть)

и затем регистрирует эти файлы в ключах авто-запуска системного реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"quake"="c:\eiram\quake4demo.exe"
"Q4"="f:\quake4demo.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Q4"="c:\\eiram\quake4demo.exe"
"quake"="f:\quake4demo.exe"

Позже, при рассылке зараженных писем, червь может также создавать свои дополнительные копии в каталоге Windows, копии червя имеют имена:

honey.exe

quake4demo.exe

setup.exe

Рассылка писем

При рассылке писем червь открывает адресную книгу MS Outlook и рассылает себя по всем обнаруженным адресам.

Проявления

Червь ищет файлы с расширениями имени: .exe, .xls, .doc, .mdb, .htm, .html, .txt, .ocx, и записывает вместо этих файлов текст:

You've didn't protected your files well enough Let this be a lesson! Never trust someone else eiram 1999-2001

Windows вирусы

Win32.Yerg

Неопасный нерезидентный зашифрованный Win32-вирус. Ищет и заражает приложения Win32 (PE EXE-файлы), которые имеют расшинение имени .EXE и .SCR (скрин-сейверы). При заражении записывается в конец файлов.

При старте с диска A: ищет файлы в системном каталоге Windows и выше. При старте с любого другого диска ищет файлы в текущем каталоге и затем на диске A:

По 18-м числам ежемесячно вирус выводит сообщение:

Затем вирус меняет изображение курсора (при этом на диске создается файл UFO.ANI), и открывает Web-страницу "http://www.abduct.com".

Код вируса также содержит строки:

YERG
I LOVE YOU DEE
FORGIVE ME DEE
you make me so happy!
if you see this Dee online in the desc i love you Cell [MATRiX]

Авторские права на все опубликованные материалы принадлежат ЗАО "Лаборатория Касперского"

Перепечатка допускается при условии ссылки на вестник "Касперский сообщает"

Лаборатория Касперского

Россия, 123363, Москва, ул. Героев Панфиловцев, д.10
Телефон: +7 095 797 87 00
Факс: +7 095 948 43 31
E-mail: info@kaspersky.com
WWW: http://www.kaspersky.ru