WINDOWS-ВИРУСЫ Win32.Devir СЕТЕВЫЕ ЧЕРВИ Worm.Cheese Worm.Sadmind Worm.SadMind.b Worm.SadMind.с I-Worm.HappyTime I-Worm.Moncher I-Worm.Puron I-Worm.Hydra WINDOWS ВИРУСЫ Win32.Devir Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширением имени EXE. При заражении...
WINDOWS-ВИРУСЫ
СЕТЕВЫЕ ЧЕРВИ
- Worm.Cheese
- Worm.Sadmind
- Worm.SadMind.b
- Worm.SadMind.с
- I-Worm.HappyTime
- I-Worm.Moncher
- I-Worm.Puron
- I-Worm.Hydra
WINDOWS ВИРУСЫ
Win32.Devir
Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширением имени EXE. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуска файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление (см. также вирус Win32.Driller). В некоторых случаях при заражении код файла-жертвы частично компрессируется (пакуется) и размер зараженного файла остается без изменений.
При запуске вируса он ищет PE EXE-файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 10 функций работы с файлами: поиск, открытие, копирование файлов и т.п. При этих вызовах, если работа идет с PE EXE-файлами, вирус заражает их. В результате все PE EXE-файлы, к которым обращается зараженная программа оказываются зараженными. Вирус также перехватывает переход в новый каталог - и заражает там PE EXE-файлы.
Вирус также содержит Backdoor-процедуру, которая открывает Интернет-соединение, ждет подключения "хозяина" и затем выполняет его команды: принимает/отсылает файлы, запускает файлы на выполнение, передает информацию о системе и т.п.
Вирус содержит текст-"копирайт":
Intruder v.0.1 by Deviator//HAZARD
СЕТЕВЫЕ ЧЕРВИ
Worm.Cheese
Интернет-червь "Cheese" заражает компьютеры которые были взломаны другим Linux червем "Ramen". Он действует как "заплатка дыр", которая удаляет открытые для внешнего доступа компьютеры, которые были взломаны, но для которых не была устранена брешь в системе безопасности. Таким образом компьютеры все еще остаются уязвимыми для внешних атак. Червь содержит строки текста:
> # removes rootshells running from /etc/inetd.conf
> # after a l10n infection... (to stop pesky haqz0rs
> # messing up your box even worse than it is already)
> # This code was not written with malicious intent.
> # Infact, it was written to try and do some good.
Неважно, какие хорошие намерения были у его авторов, но червь "Cheese" способен размножаться как вредная программа, которая "съедает" системные ресурсы.
[ Подробнее... ]
Worm.Sadmind
Первый известный интернет-червь, заражающий компьютеры Sun Sparc с операционной системой Solaris/SunOS. Червь также атакует HTTP-серверы с установленным Microsoft Internet Information Server (IIS) версий 4 и 5. Взлом серверов заключается в замене стартовой страницы вэб сервера на страницу червя:
Червь очевидно был написан людьми с устойчивыми про-китайскими взглядами: "PoizonBOx" это группа хакеров, которая атакует и портит вэб-сервера США в сети интернет.
[ Подробнее... ]
Worm.SadMind.b
Версия не отличается от "Worm.SadMind.а" кроме двух исполняемых файлов, которые были перекомпилированы.
Worm.SadMind.с
Версия отличается от других содержимым файла "index.html", который входит в дистрибутив червя и используется для перезаписывания файлов "index.html" на компьютере Solaris после атаки 2000 серверов IIS. Новая стартовая страница для взломанных серверов остается такой же как для версий .a и .b.
I-Worm.HappyTime
Этот интернет-червь распространяется в письмах электронной почты, используя MS Outlook Express и службу MSMAPI. Червь написан на языке Visual Basic Script (VBS).
Червь попадает на компьютер в виде письма в формате HTML или в обычном текстовом формате, но с прикрепленным HTML-файлом. В первом случае скрипт в HTML-части письма автоматически запускается при открытии или просмотре письма и червь активизируется. Во втором случае червь активизируется в момент, когда пользователь открывает прикрепленный к письму HTML-файл.
При активизации червь не начинает немедленную рассылку писем (как делают большинство других чевей), а начинает заражать файлы на компьютере пользователя. Рассылать письма червь будет много позже.
Червь подменяет обои рабочего стола Windows (desktop wallpaper), указав в качестве файла обоев зараженный HTML-файл, в котором фоном указана та картинка, которая была фоном до заражения компьютера. Таким образом пользователь скорее всего ничего не заметит (визуальных изменений не будет), но червь ативизируется каждый раз, когда отрисовывается фон.
Кроме того, червь заражает все файлы с расширением "HTT" в подкаталоге "WEB" Windows-каталога. Эти файлы Windows использует при отображении каталогов (например Program Files) в Explorer при режиме просмотра Web-стиль. Заражение этих файлов приводит к тому, что при отображении каждого каталога автоматически запускается код червя.
[ Подробнее... ]
I-Worm.Moncher
Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты и IRC-каналов. Является 37-килобайтным EXE-файлом Windows, скомпилированным при помощи компилятора VisualBasic.
При запуске этого файла червь получает управление, инсталлирует себя в систему и активизирует свою процедуру дальнейшего распространения. Чтобы каким-либо образом показать "видимость работы" червь выдает два сообщения:
INSTALL
Install complete.
ERROR!
Unable to run program!
Для распространения зараженных писем червь окрывает базу данных Outlook, считывает из ее адресной книги адреса электронной почты и рассылает по ним электронные сообщения со своей присоединенной копией. Тема и текст зараженных писем выглядят так:
Тема: With Love
Текст: Whit all my love for you. :)
Вложение: Winhlp.exe или MonCherry.zip
Червь заражает mIRC-клиента, если тот установлен в каталоге C:\MIRC. Червь записывает в файл SCRIPT.INI в этом каталоге команды, которые передают файл-червь WINHLP.EXE каждому пользователю, который подключается к зараженому каналу.
13-го января червь записывает в файл C:\AUTOEXEC.BAT команды, котрые форматируют диск C: при следующей перезагрузке компьютера.
[ Подробнее... ]
I-Worm.Puron
Интернет вирус-червь, рассылающий свои копии в зараженных письмах электронной почты и заражающий Windows EXE-файлы на локальном компьютере и в локальной сети. Содержит ошибки и в некоторых случаях портит файлы при заражении или завешивает компьютер.
Содержит текст-"копирайт":
(c)Vecna
Vecna is a punk rocker now...
Вирус ищет .EXE- и .SCR-файлы Windows во всех локальных и доступных сетевых каталогах и заражает их. При заражении вирус выделяет блок кода в файле, компрессирует его, и записывает назад вместе со своим кодом. В результате размер файла при заражении не увеличивается.
При заражении вирус также использует полиморфный алгоритм мутирования своего кода.
Для рассылки зараженных писем вирус ищет базу данных WAB (Windows Address Book), считывает оттуда имя почтового SMTP-сервера, ищет адреса электронной почты и рассылает по ним сообщения.
Сообщения рассылаются в формате HTML и имеют поля:
From: "Mondo bizarro" [mourning@obituary.org]
Subject: Joey is dead, man... :-(
Text: A tribute to Joey Ramone (1951-2001)
Attach: ramones.mp3.exe
В HTMK-письме вирус использует одну из "дыр" в системе защиты Windows (Vulnerability identifier: CVE-2001-0154). В результате вложенный в письмо EXE-файл автоматически запускается на выполнение при открытии письма или даже при предварительном просмотре писем.
[ Подробнее... ]
I-Worm.Hydra
Интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 12-килобайтной Win32-программой (упакован, после распаковки размер червя - 26K). Написан на Visual Basic.
При запуске (если пользователь "кликнет" на файле-вложении) червь копирует себя в каталог Windows с именем MSSERV.EXE и регистрирует его в ключах авто-запуска системного реестра.
Червь остается в памяти Windows как невидимое приложение-сервис, подсоединяется к MS Outlook и регистрирует себя как обработчик событий MS Outlook. Червь обрабатывает два события MS Outlook: получение нового письма ("NewMail") и отправку писем ("ItemSend").
При получении нового письма червь проверяет, а не является ли это письмо его собственным письмом с другого компьютера. Для проверки червь берет первый вложенный в письмо файл (если такой есть) и проверяет его размер. Если размер вложения совпадает с длиной файла-червя, то червь считает, что это - его собственное письмо и удаляет его.
При отсылке писем с зараженного компьютера червь либо вкладывает в письмо свою копию со случайным 8-символьным EXE-именем (если в письме нет вложенных файлов), либо замещает первый вложенный файл своей копией. При этом имя вложения остается без изменений, а расширение заменяется на .EXE.
По 13-м пятницам с 13:00 до 14:00 червь также записывает в начало текста отправляемых писем строку:
[I-Worm.Hydra] ...by gl_st0rm of [mions]
Для того, чтобы скрыть свое присутствие и усложнить удаление файла-червя и измененных ключей реестра, червь удаляет файл MSCONFIG.EXE в системном каталоге Windows, ищет активные приложения и выгружает их из памяти Windows:
"AVP Monitor"
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"Norman Virus Control"
"navpw32"
"Norton AntiVirus"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"File Monitor"
"Registry Monitor"
"Registry Editor"
"Task Manager"
Червь также удаляет антивирусные базы Антивируса Касперского.
[ Подробнее... ]
