МАКРО-ВИРУСЫ: 1C-Module.Bonny, семейство: Bonny.a Bonny.b ПРОЧИЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ: TrojanDropper, семейство СЕТЕВЫЕ ЧЕРВИ: IIS-Worm.CodeGreen I-Worm.Abotus I-Worm.Invalid I-Worm.Gabry I-Worm.Scorpion Worm.Hai I-Worm.Potok WINDOWS ВИРУСЫ: Win9x.Frone МАКРО-ВИРУСЫ 1C-Module.Bonny,...
МАКРО-ВИРУСЫ:
ПРОЧИЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ:
СЕТЕВЫЕ ЧЕРВИ:
WINDOWS ВИРУСЫ:
МАКРО-ВИРУСЫ
1C-Module.Bonny, семейство
Первые известные вирусы, распространяющиеся в системе "1С:Предприятие7.7" (см. Фирма 1C). Данные вирусы заражают один из типов пользовательских файлов системы "1С:Предприятие 7.7" (файлы внешних отчетов, имеют расширение имени ".ERT").
Вирусы представляют из себя макро-модули, встроенные в файл-отчет 1C. Способ расположения этих вирусов в файлах-отчетах 1C и их функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.
Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.
Данные вирусы никак не проявляют своего присутствия в системе и не содержат никаких специальных деструктивных функций (за исключением того, что первый вирус при заражении уничтожает содержимое файла-жертвы).
Вероятность широкого распространения вирусов этого типа крайне мала, поскольку отчеты 1С:Предприятия не являются файлами, которые часто копируются с одного компьютера на другой или пересылаются по электронной почте.
Вирусы содержат строки-"копирайты":
Trivial.1Cv77 by BKNY0NNX
Companion.1Cv77 by BKNY0NNX
Bonny.a
"Overwriting"-вирус, записывает себя вместо заражаемых файлов. При заражении полностью уничтожает содержимое файла-жертвы.
Состоит их одного авто-модуля "ПриОткрытии()" и, соответственно, активизируется при открытии зараженного модуля. Состоит всего из 15 команд, которые ищут в текущем каталоге .ERT-файлы (внешние отчеты 1С) и записывается в них.
После заражения всех доступных файлов в каталоге вирус завершает работу системы (выполняет команду закрытия приложения 1C:Предприятие).
Bonny.b
Вирус-компаньон. Также состоит из одного авто-модуля "ПриОткрытии()". При активизации ищет в текущем каталоге .ERT-файлы, переименовывает найденные файлы в .ERT.ERT (добавляет к имени файла еще одно расширение .ERT, например, AUDIT.ERT -> AUDIT.ERT.ERT) и копирует себя вместо оригинального файла.
После заражения всех файлов в каталоге вирус открывает файл-жертву (.ERT.ERT-файл).
Вирус содержит ошибку и не определяет уже зараженные файлы, что может привести к многократному переименованию файла, например, "BALANS.ERT.ERT.ERT ... .ERT".
ПРОЧИЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ
TrojanDropper, семейство
Программы этого класса не являются "троянскими", поскольку сами по себе никаких деструктивных действий не выполняют. Однако они написаны исключительно в целях скрытной инсталляции других вредоносных программ и практически всегда используются для "подсовывания" на компьютер-жертву вирусов, других троянских или "бекдор"-программ.
Программы типа "TrojanDropper" обычно без каких-либо сообщений (либо с ложными сообщениями об якобы ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Структура таких программ следующая включает в себя основной код и множество файловых секций. Основной код выделяет из своего файла остальные компоненты (файл1, файл2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно одна (или более) компонент являются троянскими программами и как минимум одна компонента является "обманкой": программой-шуткой, игрой, картинкой или типа этого. "Обманка" должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то "полезное", в то время как троянская компонента инсталлируется в систему.
В результате использования программ класса "TrojanDropper" хакеры достигают двух целей:
- скрытная инсталляция троянских программ и/или вирусов
- защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
СЕТЕВЫЕ ЧЕРВИ
IIS-Worm.CodeGreen
Интернет-червь, заражающий Web-сервера под управлением Internet Information Server (IIS). Распространяется от компьютера к компьютеру, пересылая на очередной (заражаемый) компьютер свой код и, незаметно для пользователя, запуская его на выполнение. Для реализации этого метода используется одна из ошибок в защите IIS типа "переполнение буфера" (buffer overrun).
Основной особенностью данного червя является тот факт, что он также выполняет анти-вирусные функции. При запуске на компьютере он:
- уничтожает следы деятельности червя "CodeRed" и затем выводит сообщение (см. ниже)
- скачивает с Web-cайта Microsoft "заплатку", которая исправляет брешь в защите зараженного IIS-сервера.
Текст сообщения следующий:
Des HexXer's CodeGreen V1.0 beta
CodeGreen has entered your system
it tried to patch your system and
to remove CodeRedII's backdoors
You may uninstall the patch via
SystemPanel/Sofware: Windows 2000 Hotfix [Q300972]
get details at "www.microsoft.com".
visit "www.buha-security.de"
I-Worm.Abotus
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 18K, написан на Delphi.
Зараженные письма содержат:
Заголовок: About us
Текст: I have included a program which illustrates my opinion about things you wrote me few days ago
Имя вложения: не фиксировано
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е. является червем "однократного" действия. При рассылке писем использует функции Windows MAPI и "отвечает" на письма из локального почтового ящика.
I-Worm.Invalid
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 12K.
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом он ищет файлы *.HT* (HTML-файлы), ищет в этих файлах ссылки на адреса электронной почты и затем рассылает зараженные письма по этим адресам.
Зараженные письма содержат:
От: "Microsoft Support"
Заголовок: Invalid SSL Certificate
Имя вложения: SSLPATCH.EXE
Текст:Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is required to be installed on the user computer to use the https protocol. During the installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by that allows attackers to get access to your computer. The SSL protocol is used by many companies that require credit card or personal information so, there is a high possibility that you have this certificate installed.
To avoid of being attacked by hackers, please download and install the attached patch. It is strongly recommended to install it because almost all users have this certificate installed without their knowledge.
Have a nice day,
Microsoft Corporation
После отсылки писем червь шифрует все EXE-файлы в текущем и родительских каталогах. При шифровании используется Windows Crypto API.
Червь содержит "копирайт"-текст:
I-Worm.Invalid, Written By Dr.T/BCVG Network, 2001
The Black Cat Virii Group, 2001
I-Worm.Gabry
Интернет-червь. Написан на скрипт-языке Visual Basic Script (VBS). Первая инструкция червя содержит текст-копирайт "Gabry", по которой червь и получил свое название.
Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Известная версия червя содержит ошибку, в результате которой червь не в состоянии рассылать зараженные письма. Однако, эта ошибка может быть легко исправлена и червь будет в состоянии распространять свои копии по Инетрнет.
Червь также способен заразить локальную сеть. Для этого ищет доступные сетевые ресурсы (диски) и копирует на них свой файл. Червь не может запустить свои копии на удаленных компьютерах и способен заразить их только в том случае, если они будут активизированы пользователем.
Червь попадает на компьютер в виде электронного письма с характеристиками:
Тема: I'am missing U
Текст: Could u remember me ?
Вложение: Y072QWV.VBS
При активизации (если пользователь открывает вложение) червь копирует себя под именем Y072QWV.VBS в системный каталог Windows и регистрирует этот файл в системном реестре с секции авто-запуска:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"Y072QWV" = %Windir%\Y072QWV.VBS
где %Windir% - имя системного каталога Windows.
Затем червь заражает локальную сеть - копирует себя с именем Y072QWV.VBS в корневые каталоги всех сетевых дисков, доступных на запись.
При рассылке зараженных сообщений червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.
I-Worm.Scorpion
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 370K, написан на Delphi.
Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Червь инсталлирует себя в систему, регистрируется как системное (скрытое) приложение и рассылает зараженные письма.
Инсталляция
Червь копирует себя в системный каталог Windows под случайно выбранным из списка именем:
Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe
и регистрирует этот файл в ключе авто-запуска системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Scorpion = %имя файла%
Рассылка писем
Зараженные письма содержат случайно выбираемые заголовки и тексты (см. ниже). Имя файла также выбирается случайно из приведенного выше списка.
Заголовки:
Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres
Тексты:
Abrelo sin miedo que, no es ningun Virus
No tiene ningun Virus
Abrelo no hay PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Scorpion hace de las suyas
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
No tiene Virus, asi que abranlo y disfrutenlo
Observa el gran poder de las mujeres en su parte trasera
Для рассылки писем червь использует SMTP-соединение с почтовым сервером, имя которого считывает из системных установок (из соответствующего ключа системного реестра).
Почтовые адреса, по которым производится рассылка писем, считываются червем из адресной книги Windows (WAB - Windows Address Book). Сообщения каждый раз также рассылаются по адресам:
jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar
Червь рассылает письма сразу при старте. Затем, через некоторые промежутки времени, червь рассылает письма повторно.
Побочные действия
Червь уничтожает все *.INF и *.SYS-файлы во всех каталогах диска, на котором установлена Windows. В результате система оказывается разрушенной и ее повторная загрузка Windows оказывается невозможной.
Начиная с сентября и начиная с 15-го числа месяца червь проявляется видео-эффектом.
Червь также создает ключи в системном реестре:
HKEY_LOCAL_MACHINE\Software\Scorpion\Help
Mail = Negro
Fack = Rojo
Эти ключи означают: 1-й ключ - зараженные письма уже разосланы; 2-й ключ - INI и SYS-файлы уничтожены.
В зависимости от своих внутренних счетчиков червь закрывает окна активных приложений, открывает-закрывает CD-диск, мигает индикаторами клавиатуры Num/Caps/Scroll-lock, выводит 500 сообщений:
Scorpion ya estс aquэ !!!!
Worm.Hai
Сетевой вирус-червь, распространяющийся по локальной сети. Представляет собой 60K-программу Win32, написанную на MS Visual C++. Известная версия вируса зашифрована утилитой шифрования Win32 EXE-файлов PELock.
Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог \WINDOWS. Если такой обнаружен, вирус копирует себя туда со случайным EXE-именем (например, RLITK.EXE, STNXOUL.EXE) и регистрирует этот файл в заражаемом каталоге в файле WIN.INI в команде авто-запуска "Run=" (т.е. червь в состоянии заразить только компьютеры Win9x).
При модификации файла WIN.INI червь использует временный файл WIN.HAI, по этой причине червь и получил свое имя.
Червь также сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его. Результат соединения никак не используется червем.
Алгоритм перебора IP-адресов следующий: червь берет IP-адрес зараженной машины как базовый адрес, затем запускает два подпроцесса. Один из них перебирает IP-адреса от базового с увеличением адреса на единицу, другой - с уменьшением на единицу.
Т.е. если IP-адрес текущей машины 192.3.2.1, то червь будет сканировать IP-адреса в следующей последовательности:
первый процесс второй процесс
192.3.2.1 192.3.2.1
192.3.2.2 192.3.1.255
192.3.2.3 192.3.1.254
192.3.2.4 192.3.1.253
... ...
192.3.2.255 192.3.1.1
192.3.3.1 192.2.255.255
...
192.3.255.255 192.1.1.1
192.4.1.1 191.255.255.255
I-Worm.Potok
Этот Интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по адресам, которые хранятся в адресной книге Outlook.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows 98; в Windows 2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook 98/2000.
Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, является телом червя. Письмо имеет следующие характеристики:
Тема письма: New Generation of drivers.
Сообщение в письме:
Microsoft hasCards, comp published new driver
for all types Video atible with Windows 95/98/NT/2000/XP.
You can read about it in attachment document.
Best wishes,Microsoft.
Имя прикрепленного файла: "driver.doc .vbs"
Расширение файла (".vbs") отделено большим количеством пробелов и в некоторых случаях может не отображаться.
В зависимости от настроек системы настоящее расширение вложенного файла (".vbs") может быть не показано. В этом случае файл отображается как "DRIVER.DOC".
При активизации (если пользователь открывает прикрепленный файл) червь создает свою точную копию в каталоге WINDOWS под именем "driver.doc.vbs"
Червь проверяет тип файловой системы и если она не NTFS, то червь завершает свою работу. Если файловая система NTFS червь создает в каталоге WINDOWS файл ODBC.INI и ассоциирует с ним четыре дополнительных потока (NTFS stream)
group - подпрограмма добавления пользователя в систему
mail - подпрограмма собственной рассылки через OutLook
main - основная управляющая часть
user - подпрограмма добавления пользователя в систему
Далее червь создает промежуточный файл ("go.vbs") который собирает все четыре потока в один файл ("notepad.vbs") и запускает его. Часть червя, запущенная из файла NOTEPAD.VBS, производит рассылку по первым 50 адресам адресной книги Outlook. После рассылки червь проверяет операционную систему и если это Windows 2000, то червь добавляет в систему нового пользователя "Lord_Nikon".
WINDOWS ВИРУСЫ
Win9x.Frone
Очень опасный резидентный вирус. Остается в памяти Win9x, перехватывает IFS API (файловые вызовы) и заражает открываемые PE EXE-файлы (приложения Win32). При заражении записывается в конец файлов. В некоторых случаях длина заражаемых файлов не увеличивается.
По причине ошибки некоторые файлы невозможно корректно восстановить при их лечении, такие файлы должны быть уничтожены.
В зависимости от случайных данных вирус при открытии файлов стирает случайно выбранные сектора на диске C:. В эти сектора записываются случайные данные, которые начинаются со строки "Fr1, 13".
Авторские права на все опубликованные материалы принадлежатЗАО "Лаборатория Касперского"
Перепечатка допускается при условии ссылки на вестник "Касперский сообщает..."
Лаборатория Касперского
Россия, 125363, Москва, ул. Героев Панфиловцев, д.10
Телефон: +7 095 797 87 00
Факс: +7 095 948 43 31
E-mail: info@kaspersky.com
WWW:http://www.kaspersky.com
