Электронный вестник "Лаборатории Касперского" #28 СЕТЕВЫЕ ЧЕРВИ I-Worm.Chet I-Worm.Gismor I-Worm.Pepex Worm.P2P.Relmony WINDOWS-ВИРУСЫ Win32.Ramdile Win32.Porex LINUX-ВИРУСЫ Linux.Gildo МАКРО-ВИРУСЫ Macro.Word97.Nori
Электронный вестник "Лаборатории Касперского" #28
СЕТЕВЫЕ ЧЕРВИ
WINDOWS-ВИРУСЫ
LINUX-ВИРУСЫ
МАКРО-ВИРУСЫ
ТРОЯНСКИЕ ПРОГРАММЫ
КОНСТРУКТОРЫ ВИРУСОВ
Сетевые черви
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 27K, написан на Microsoft Visual C++.
Червь обнаружен 10-11 сентября 2002 года в годовщину террористических актов в США.
Червь содержит несколько серьёзных ошибок и его запуск в некоторых случаях приводит к стандартному сообщению Windows о недопустимой операции. Ошибки также содержатся в процедуре рассылки писем, в результате чего риск заражения данным Интернет-червем крайне низок.
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 8Kб, написан на ассемблере.
Зараженные письма содержат следующие поля:
Mail From: < Gismo@gmx.de >
From: MP3 Deluxe
To: My best friends
Subject: Phenomenal
Body: body is empty
Attach: MP3Player.exe
Для того чтобы запуститься из зараженных писем червь использует IFRAME-брешь в системе безопасности почтового клиента. Затем червь инсталлирует себя в систему и запускает процедуру своего распространения.
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, через сеть обмена файлами Kazaa и через IRC-каналы.
Червь является приложением Windows (PE EXE-файл), имеет размер около 32K (упакован UPX, размер распакованного файла - около 80K), написан на Microsoft Visual C++.
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Интернет-червь, распространяющийся в "peer-to-peer" сетях Kazaa и Morpheus (сети обмена файлами). Червь размножается, создавая свои копии в общедоступных каталогах этих сетей.
Червь является приложением Windows (PE EXE), написан на Visual Basic, имеет размер около 29K.
Windows-вирусы
Неопасный зашифрованный нерезидентный Win32-вирус. Заражает приложения Win32. При заражении записывается в конец файла.
При старте вирус заражает в текущем каталоге файлы *.EXE, *.SCR, *.CPL, затем в каталоге Windows заражает файлы: CALC.EXE, NOTEPAD.EXE, CDPLAYER.EXE, WRITE.EXE, PBRUSH.EXE.
7-го, 12-го, 17-го и 22-го числа каждого месяца вирус создает на диске графический файл "ramlide.bmp" и регистрирует этот файл как "обои рабочего стола".
Резидентный Win32-вирус. Использует различные способы заражения. Является приложением Windows (PE EXE-файл), имеет размер около 37K, написан на Microsoft Visual C++.
Заражает файлы двух типов: PE EXE-файлы и файлы с расширением .DOC, при этом длина файлов должна быть не менее 10K и не более 21M. Поиск файлов производится во всех каталогах всех доступных дисков.
При заражении EXE-файлов вирус записывается в начало файла. При запуске такого файла вирус записывает первоначальный образ зараженного файла во временный файл с расширением .RNT и запускает его на выполнение. Таким образом, вирус передаёт управление файлу-носителю.
Linux-вирусы
Неопасный, резидентный вирус. Написан на языке ассемблер. Использует системные вызовы syscall при работе с файлами. Записывает себя в середину ELF файлов. После заражения размер файлов увеличивается на 4096 байт.
При старте вирус раздваивает выполнение основного процесса и продолжает выполняться после его завершения. Резидентная часть сканирует все каталоги, начиная с корневого. Для каждого найденного файла вирус проверяет права доступа. Если запись в этот файл разрешена, то вирус заражает его. При заражении файлов вирус увеличивает размер кодовой секции на 4096 байт и записывает в освободившееся место свой код. Затем вирус перенастраивает адреса всех вышестоящих секций и устанавливает новое значение точки входа.
Макро-вирусы
Опасный макро-вирус. Заражает документы Microsoft Word при их открытии и создании. Как результат работы вируса в корневом каталоге диска "C:" может появиться файл "Iron.tmp".
Первого апреля вирус проверяет значение ключа "RegisteredOrganization" в системном реестре. Если значение равно "IRON" вирус уничтожает все файлы на диске "C:". В случае же, когда ключ "RegisteredOrganization" содержит любое другое значение, вирус уничтожает содержимое документов при их открытии в этот день.
Троянские программы
Троянская программа класса "бекдор" (скрытное управление удаленными компьютерами). Является приложением Windows (PE EXE-файл), написанным на Delphi.
Троянский "набор" содержит три основные EXE-файла:
CaBrONaToR.exe - клиент для управления удаленным сервером
CaBrONeDiT.exe - редактор для изменения установок сервера
8======D.exe - троянский сервер
Троянская программа-шпион. Скрытно инсталлирует себя в систему, периодически "фотографирует" экран, шифрует полученные "снимки" и записывает их в специальный каталог в виде отдельных файлов. Таким образом, позволяет злоумышленнику наблюдать за экраном компьютера.
Является приложением Windows (PE EXE-файл), упакована AsPack, написана на Delphi. Размер троянской программы зависит от версии троянца.
Конструкторы вирусов
Конструктор скрипт-вирусов "Senna Spy Internet Worm Generator 2000", автором которого является хакер по кличке Senna Spy. C помощью данного конструктора было создано семейства червей "SSIWG".
Конструктор позволяет создавать черви, которые распространяются по электронной почте и каналам IRC.
© Авторские права на все опубликованные материалы принадлежат
ЗАО "Лаборатория Касперского"
Перепечатка допускается при условии ссылки на вестник "Касперский сообщает"
Лаборатория Касперского
Россия, 125363, Москва, ул. Героев Панфиловцев, д.10
Телефон: +7 095 797 87 00
Факс: +7 095 948 43 31
E-mail: info@kaspersky.com
WWW: http://www.kaspersky.ru
