Главная | Новости | О компании | Сервисы и услуги | Утилиты | Контакты

Утилиты

27 января 2004

ВНИМАНИЕ!!! Глобальная вирусная эпидемия в Интернет!!!

Службы мониторинга антивирусных компаний сообщают о глобальном и молниеносном распространении червя массовой почтовой рассылки. Днепропетровским Антивирусным Центром уже получены данные о заражении пользователей в нашем регионе. Да и мы сами уже получили несколько инфицированных писем с бесплатных почтовых российских серверов, включая mail.ru. Категория опасности - 4! Уровень риска - высокий! По классификации различных компаний данный червь носит названия W32.Novarg.A@mm [Symantec], W32/Mimail.Q.worm [Panda], W32/Mimail-Q [Sophos], W32/Mydoom@MM [NAI], Mimail.Q [Лаборатория Касперского], Win32.HLLM.MyDoom.32768 [ДиалогНаука]. W32.Novarg.A@mm - червь массовой почтовой рассылки. Важным отличием данного червя является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов. Почтовое сообщение имеет следующие характеристики:

Отправитель: может быть ложный адрес

Тема - одна из следующих:

Test

Hi

Hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Текст:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Имя вложения - одно из перечисленных:

  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message body

с одним из следующих расширений:

  • pif
  • scr
  • exe
  • cmd
  • bat
  • zip

Из-за отличия описаний установки на ПК приводим два варианта описаний червя:

По данным компании Symantec

При инфицировании компьютера червь устанавливается как:

1. В системную директорию устанавливается файл

shimgapi.dll - дроппер, устанавливающий и запускающий основную часть червя.

2. В системную директорию устанавливается сам червь под именем taskmon.exe. Если такой файл уже существует, то вместо него перезаписывается копия червя.

3. Во временный директорий устанавливается файл Message, являющийся частью дроппера. Файл Shimgapi.dll устанавливается к EXPLORER.EXE через создаваемый ключ системного реестра:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 „(Default)” = %SysDir%\shimgapi.dll

Червь также создает ссылку

TaskMon = %System%\taskmon.exe

в ключе системного реестра

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

или HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Создает следующие ключи в системном реестре:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

и

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

По данным Лаборатории Касперского

Копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

„System” = „%Windir%\sys32.exe”

После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение. Создает в системном реестре Windows несколько ключей, для идентификации своего присутствия на машине: [Software\Microsoft\Windows\CurrentVersion\Explorer]

  • Explorer2
  • Explorer3
  • Explorer4
  • Explorer5
  • Explorer

Далее общее описание.

ВНИМАНИЕ! Одновременно червь создает во временной директории текстовый файл, состоящий из случайного набора мусора, который открывает с помощью программы Notepad.exe. Таким образом у пользователя создается иллюзия, что он действительно открыл испорченный текстовый файл.

Для осуществления массовой почтовой рассылки червь извлекает из файлов с расширением

  • .htm
  • .sht
  • .php
  • .asp
  • .dbx
  • .tbb
  • .adb
  • .pl
  • .wab
  • .txt

почтовые адреса, а рассылка производится напрямую на smtp-сервер получателя, червь использует DNS сервер 212.5.86.163.

Червь открывает злоумышленникам лазейку на зараженный компьютер, используя с 3127 по 3198 (по данным большинства компаний). По данным Лаборатории Касперского это порты 6667, 3000, 80, 1433 и 1434. Через эти порты червь получает команды от своих „хозяев” и отправляет данные о выполнении команд на анонимные почтовые ящики публичных e-mail систем.

Также червь собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.

Анализ кода червя приводит к предположению, что 1 февраля со всех компьютеров, которые будут к тому времени заражены и будут иметь доступ в интернет, будет осуществлена DoS-атака на сайт группы SCO, известной своими судебными исками по поводу авторских прав на операционную систему UNIX. Атака будет производиться через порт 80.

И наконец, в коде червя содержатся угрозы в адрес публичных почтовых систем в случае закрытия используемых им ящиков:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.

Процедуры защиты от червя уже добавлены в антивирусные базы всех ведущих производителей. Большая просьба оперативно обновить антивирусные базы Ваших программ. Ведущими антивирусными компаниями также выпущены специальные утилиты для удаления червя с зараженного компьютера, которые в ближайшее время будут доступны для скачивания с нашего сайта.