Červ, který vozí virus

Korea, listopad 2002. Tyto údaje by ve svém rodném listě mohl mít zapsané e-mailový červ Winevar, který způsobil jed...


Korea, listopad 2002. Tyto údaje by ve svém rodném listě mohl mít zapsané
e-mailový červ Winevar, který způsobil jednu z posledních epidemií roku 2002.
Zvláštní na něm je především skutečnost, že jde o e-mailového červa, který je
schopen do napadeného systému vypustit virus Funlove.
Winevar je e-mailový červ o velikosti 91 kilobajtů, který byl vytvořen v jazyce
MS Visual C++. Zpráva, ve které se šíří, má HTML formát a tři přílohy (někdy se
zobrazují jen dvě, protože první z nich je vlastně tělem zprávy):
WIN%Rnd%.TXT (12.6 KB) MUSIC_
1.HTM
WIN%Rnd%.GIF (120 bytes) MUSIC_
2.CEO
WIN%Rnd%.pif
(Kde %Rnd% je náhodný alfanumerický znak.) Vzhledem k mezerám v názvech souborů
tyto v některých případech vypadají jako dva soubory vedle sebe, což může zmást
uživatele. Ve skutečnosti jde o jeden umně zvolený název. Inu, sociální
inženýrství funguje.
První z výše uvedených souborů obsahuje skript, který asociuje příponu CEO s
EXE, takže při poklikání na druhý soubor je tento zprocesován jako EXE. Druhý a
třetí soubor jsou přitom identické buď dojde k aktivaci červa samočinně pomocí
triku IFRAME (třetí soubor), nebo je naděje, že neznalý (zvědavý) uživatel
pokliká na soubor s netradiční příponou CEO (druhý).
Po aktivaci se nakopíruje do systémového adresáře Windows s napůl náhodným a
napůl pevně daným jménem: WIN%rnd%.PIF (kde %rnd% je náhodný alfanumerický
znak). Následně se zapisuje i do registrů. K aktivaci mnohdy nepotřebuje žádný
úkon ze strany uživatele, protože pro svou instalaci využívá dvou známých
bezpečnostních děr:
Microsoft VM ActiveX Component
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
Výše uvedený soubor umístěný do Windows (odkaz na něj je samozřejmě zapsán i do
registrů) ale není jediným projevem Winevaru v infikovaném počítači. Červ sám
sebe nakopíruje ještě do souboru se jménem explorer.pif a umístí jej na
"pracovní plochu".

Jak se šíří
Svou šířící rutinu vykoná červ pouze v případě, je-li aktivní spojení s
internetem. K získání adres potenciálních obětí hledá na počítači soubory s
příponami htm a dbx. Z nich přitom extrahuje e-mailové adresy (kromě těch,
které obsahují řetězec "@microsoft"). Při rozeslání přidává do svého mateřského
souboru trojici informací:
Identifikátor regionu, v němž se právě infikovaný počítač nachází (např. CZE
Česká republika, KOR Korea).
Aktuální systémové datum a čas.
Jméno uživatele počítače a jeho firmy (tak, jak jsou uvedeny v registračních
informacích).
Tyto informace lze z těla škodlivého kódu zpětně vytáhnout, a vysledovat tak
proces šíření Winevaru.
Při rozesílání se šíří v elektronické poště s jedním z níže uvedených názvů:
Re: AVAR(Association of Anti-Virus Asia Reseachers)
N`4 %RegisteredOrganization%
N`4 Trand Microsoft Inc.
Poslední varianta je vybrána v případě, že v registračních informacích není
uveden žádný údaj. Text "N`4" na počátku dvou posledních nabídek "předmětu" je
nedešifrovaný text "Re" autor škodlivého kódu, který většinu informací
zašifroval, aby ztížil detekci, v tomto případě vyrobil chybku a zapomněl na
dešifrování.

Projevy
Pokud je Winevar aktivní, tak se neustále snaží o stažení hlavní webové stránky
jedné americké bezpečnostní firmy do souboru na lokální disk. Tento soubor
obratem maže a celou činnost stále opakuje. Pokud by došlo k jeho masivnějšímu
rozšíření, mohla by tato činnost nabrat rozměru DoS (Denial of Service) útoku.
Červ také vyhledává antivirové programy, firewally a debuggery a pokud je
nalezne, pokouší se je ukončit a smazáním odstranit ze systému. V některých
případech (opět díky programátorské chybě) ale smaže všechny soubory na disku.
Dalším projevem je změna registračních údajů v napadeném počítači (např. jméno
uživatele je změněno na AntiVirus).
Jak už bylo výše uvedeno, Winevar se instaluje do počítače a následně aktivuje
virus Funlove. Jeho podrobný popis byl zveřejněn v Computerworldu 7/2000.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.