Dodavatel zadních vrátek

Poprvé rozčeřila tato rodinka e-mailových červů poklidné vody počítačové bezpečnosti v loňských letních měsíc...


Poprvé rozčeřila tato rodinka e-mailových červů poklidné vody počítačové
bezpečnosti v loňských letních měsících, z internetu však její představitelé
dosud rozhodně nevymizeli. Mimo jiné dokážou na napadený počítač umístit
libovolný soubor z vybraných serverů.
Červi z rodiny nazvané Frethem jsou PE.EXE soubory o velikosti 31 až 35
kilobajtů (v závislosti na verzi). Napsány jsou v MS Visual C++, následně byly
komprimovány pomocí utilit PE-Pack a UPX (tedy dvojitě).
Předmět, text zprávy a jméno přílohy se mění v závislosti na verzi Frethemu v
době psaní článku jich antivirové systémy rozlišovaly nejméně deset. Za všechny
jeden příklad, s nímž se můžeme v našich krajích nyní setkat nejčastěji.
Předmět: Re: Your password!
Text:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Přílohy: decrypt-password.exe, password.txt
Připojený EXE soubor je vlastním červem. Dokument TXT (pozor, nevyskytuje se u
e-mailové zprávy vždy!) obsahuje náhodně vygenerované znaky, které jsou
vydávány za heslo (například "Your password is W8dqwq8q 918213").
Některé varianty Frethemu využívají známou (a stále uživateli/administrátory
neodstraňovanou) bezpečnostní díru IFRAME, která umožňuje automatické spuštění
připojeného EXE souboru už při pouhém otevření zprávy nebo jejím zobrazení v
náhledu (Preview). EXE příloha může být také připojena k e-mailu bez další
návaznosti na tento bezpečnostní problém v takovém případě je nutné, aby
uživatel červovi pomohl a spustil jej poklikáním na příslušnou ikonku.

Po spuštění
Po spuštění se červ instaluje do systému a vykonává svou šířící rutinu. Nejprve
ale kontroluje nastavení klávesnice, a pokud je její kód 419 nebo 843 (ruská
nebo uzbecká), ukončuje sám sebe bez provedení jakékoliv akce. To ale v našich
zeměpisných šířkách většinou nehrozí, takže dochází k nakopírování Frethemu do
složky programů spouštěných po startu pod jménem setup.exe.
Pokud ve složce Windows neexistuje cesta Start MenuProgramsStartup, je červ
zpravidla schopen vytvořit svou kopii v kořenovém adresáři Windows pod jménem
taskbar.exe.
Frethem pro své šíření využívá SMTP protokol. Hledá e-mailové adresy ve WAB
(Windows Address Book) a v databázích s příponou DBX, přičemž na kontakty v
nich nalezené posílá infikované zprávy.
Červ obsahuje také rutinu plnící funkci zadních dvířek (po jejím aktivování
jsou v kořenovém adresáři Windows vytvořeny dva datové soubory: status.ini a
win64.ini). Ta je schopna náhodně vybrat jeden URL odkaz a k němu se pokouší
připojit. Seznam příslušných adres je uložen (a zašifrován) v těle červa,
přičemž čítá od deseti do padesáti položek v závislosti na variantě. Z
vybraného odkazu tato "backdoor" rutina stáhne určený soubor a na infikovaném
počítači jej spustí. Autor škodlivého kódu tak může umisťovat na příslušné
servery programy dle své libosti (odcizování hesel, další škodlivé kódy apod.),
které si Frethem stahuje do napadeného počítače a zde vykonává.
Tělo červa obsahuje text (ten může být v některých případech vepsán do souboru
winstat.ini v kořenovém adresáři Windows):
thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.