[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 9, Dec 1998 file 010
ВЕСЕЛЫЕ ИСТОРИИ
by RedArc
1
Инфицирование на расстоянии
─ Echo From 2:5022/12.0 (2:5022/12.23) ──────────────────────── ADINF.SUPPORT ─
Msg : 2856 из 2859
From : Igor Daniloff 2:5020/69.14 Втр 01 Дек 98 22:07
To : All Срд 02 Дек 98 13:33
Subj : ...Hапиши мне письмо, хоть одно напиши...
───────────────────────────────────────────────────────────────────────────────
* Crossposted in ADINF.SUPPORT
* Crossposted in SU.VIRUS
Hello All!
Появился тут из Испании новый шедевр, умеющий компьютеры на расстоянии
заражать. Hевозможно было пройти мимо такого умника...
Win32.Parvo.15137
Hеопасный нерезидентный полиморфный вирус, заражающий файлы в формате
PortableExecutable (исполняемые файлы для MS Windows 95/98/NT). При
заражении файлов вирус Win32.Parvo.15137 не изменяет стартовый адрес
программы, а внедряет в точку входа до 256 байт полиморфного кода, одна из
инструкций которого передает управление основному вирусному коду, который
записывается в последнюю сегментную секцию инфицированной программы. Для этого
вирус изменяет характеристики данной секции и записывает в нее свою
полиморфную копию. Полиморфный декриптор получает управление, расшифровывает
тело вируса и предоставляет ему право распоряжаться дальнейшей своей судьбой.
Вирус сканирует системную память Windows, находит в ней основной системный
модуль - KERNEL32.DLL, анализирует его структуру и пытается найти в таблице
экпортируемых имен функцию GetProcAddress. Причем для этого и в дальнейших
своих поисках вирус использует необычный алгоритм поиска - он считает
32-хразрядную контрольную сумму имени. После того, как название функции
GetProcAddress найдено, вирус определяет ее адрес и сохраняет его для
дальнейшего определения интересующих его адресов системных процедур. С помощью
GetProcAddress вирус детектирует 36 адресов системных функций KERNEL32.DLL и
далее с их помощью производит все свои манипуляции для дальнейшего своего
размещения в памяти, поиска подходящих для заражения объектов, непосредственно
самого заражения и прочих действий. Далее вирус выделяет себе блок памяти
размером 132605 байт, копирует в него 15137 байт своего кода и передает ему
управление. Затем вирус определяет имя "своей" программы-носителя, создает
новый файл с атрибутами "скрытый" и "системный" и с именем, которое
генерируется вирусом по определенному закону и зависит от имени
программы-носителя (например для программы IEXPLORE.EXE будет создан файл
FF.EXE), копирует в этот новый созданный модуль инфицированный файл и
восстанавливает в первоначальное состояние точку входа данного файла. То есть,
вирус обезвреживает сам себя в этом заново созданном файле. После чего
Win32.Parvo.15137 определяет параметры командной строки, с которыми была
запущена инфицированная исходная программа, и запускает на выполнение новый,
обезвреженный от вируса, модуль с помощью функции CreateProcessA, передав ему
в качестве параметра командную строку, запущенной инфицированной программы.
Таким образом, создается новая нить (thread) для исполнения "свободной от
вируса" программы. Далее вирус пытается создать системный семафор с
названием "PARVOVIROSIS". Если происходит ошибка при создании этого семафора,
то вирус считает, что его копия сейчас уже находится в памяти и прекращает
свою дальнейшую работу. Если же никакой ошибки не произошло, то вирус
освобождает "PARVOVIROSIS" семафор и приступает к созданию своей полиморфной
копии в памяти компьютера. В дальнейшем, в текущем сеансе работы, все
подходящие для заражения файлы будут инфицированы именно этой полиморфной
копией.
После создания своей полиморфной копии в памяти Windows вирус приступает
к поиску своих файл-жертв. Для этого он загружает в память модуль ADVAPI32.DLL
и определяет по описанному выше алгоритму адреса 3 интересующих его процедур,
работающих с файлом-реестром (registry). Вирус получает из файла-реестра
полные пути к стандартному броузеру Internet (как правило, Microsoft Internet
Explorer) и к почтовому клиенту (как правило, Microsoft Outlook). Если данные
системные компоненты установлены, то вирус производит поиск и заражение
интересующих его объектов. Здесь и в дальнейшем вирус пытается заразить только
15 определенных программ, которые он детектирует по 32-хразрядной контрольной
сумме их имен. Такими подходящими для вируса программами являются файлы с
именами: CUTFTP32.EXE, IEXPLORE.EXE, INSTALL.EXE, INSTALAR.EXE, MSIMN.EXE,
NETSCAPE.EXE, NOTEPAD.EXE, NTBACKUP.EXE, ORDER.EXE, RASMON.EXE, SETUP.EXE,
TELNET.EXE, WAB.EXE, WABMIG.EXE и WINZIP32.EXE. Файлы с другими именами вирус
"не трогает". Признаком заражения для Win32.Parvo.15137 является длина файла
кратная 100. После поиска и заражения (или отказа от него) вирус освобождает
загруженный им ранее модуль ADVAPI32.DLL. И приступает к аналогичному поиску
файлов-жертв в текущем каталоге диска, в каталоге \WINDOWS и в каталоге
\WINDOWS\SYSTEM. После данных действий можно работу вируса по заражению
объектов считать оконченной. Hо вирус так не считает и приступает к более
"интересному" для специалистов занятию, из-за которого его можно считать
"первопроходчиком". Он не отказывается от дальнейшего заражения файлов, но
выбирает для этого компьютеры, находящиеся, возможно, за тысячи верст от
инфицированной системы.
Итак, все интересующие объекты на данном компьютере и в данной системе
вирусом инфицированы или были уже инфицированы ранее. Теперь вирус загружает в
память два системных модуля WSOCK32.DLL и RASAPI32.DLL, отвечающие за работу
удаленного доступа компьютера, и определяет 10 адресов процедур для
WSOCK32.DLL и 3 адреса процедур для RASAPI32.DLL. После чего вирус детектирует
наличие сервиса удаленного доступа компьютера (например, модемной связи с
узлом Internet). Если такая связь существует, то вирус пытается установить
соединение по протоколу NNTP с одним из двух серверов новостей (news-servers),
находящихся в Испании (DNS этих серверов присутствуют в теле вируса). Если
соединение установлено, то вирус запрашивает у сервера заголовок первой статьи
случайно выбранной им конференции из следующего списка конференций:
alt.bio.hackers, alt.hacker, alt.hackers, alt.hackers.malicious, alt.hacking,
alt.hacking.in.progress, alt.binaries, alt.binaries.bbs, alt.crackers,
alt.binaries.cracked, alt.binaries.cracks, alt.cracks,
alt.binaries.cracks.encrypted, alt.binaries.dominion.cracks,
alt.binaries.test, alt.binaries.erotica, alt.binaries.erotica.breasts,
alt.binaries.erotica.fetish, alt.binaries.erotica.pornstar,
alt.binaries.multimedia.erotica, es.binarios.sexo, es.charla.sexo, es.pruebas,
es.comp.hackers, es.binarios.sexo, es.charla.sexo, es.binarios.misc. У
полученного заголовка статьи вирус ищет ключевое слово "FROM:" и запоминает
адрес пользователя, пославшего данное письмо в эту конференцию. Далее вирус
устанавливает связь по протоколу SMTP с одним из шести, определенных в теле
вируса, почтовых серверов (mail-servers), пытается отправить письмо с
собственным дроппером тому пользователю, имя, которого вирус выяснил при
общении с сервером новостей. Делает это он следующим методом: формирует и
передает серверу все необходимые поля для отправки письма и выбирает случайный
заголовок и сам текст письма из трех возможных. Письма могут быть следующего
содержания:
Письмо 1:
From: [email protected]
to: <[email protected]>
subject: New and even larger serial number list out now!
Hi
Do you need a serial number for a unregistrated program of yours?
Do you feel like you have looked for it everywhere?
Even in the newest version of Phrozen Crews Oscar?
If you can answer -yes- to some of the above questions and are still looking
for a serial number, this might be the program you have been waiting for.
We have collected serial numbers for many years and are now proud to release
the very first version of our serial number collection, which contains more
than 15.000 serial numbers.
Attached to this message is the very first version of our serial number
collection.
Yours,
Serial number collectors
<[email protected]>
Письмо 2:
From: [email protected]
to: <[email protected]>
subject: Present security risk using Microsoft Internet Explorer and Outlook
Express
A new and dangerous virus has hit the Internet.
DESCRIPTION:
When the email client receives a malicious mail or news message that contains
an attachment with a very long filename, it could cause the email to execute
arbitrary code automaticly on the client workstation, thus infecting the
machine.
Microsoft has been aware of this problem from the very beginning and presents
here a patch for the two of our products in which it exploits.
Outlook 98 on Windowsо 95, Windows 98 and Microsoft Windows NTо 4.0
Outlook Express 4.0, 4.01 (including 4.01 with Service Pack 1) on Windows 95,
Windows 98 and Windows NT 4.0
Netscape Mail Clients
SOLUTION:
Customers using this products for Windows 95, Windows 98 or Windows NT 4.0
should execute the attached patch or download an updated patch from:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Please patch your computer(s) as soon as possible and help us fight this
threat to the Internet.
Thank for your time.
Microsoft Support
<[email protected]>
Письмо 3:
From: [email protected]
to: <[email protected]>
subject: New and 100% free XXX site
Dear potential customer,
We have just opened a new erotic site with more than 10.000 .JPGs and more
than 1.000 .MPG/.VIV/.AVI/.MOV/etc.
We offer you the opportunity of a lifetime, we are giving away a months
access, without being charged, to our new site in exchange for your opinion.
All you have to do is execute the attached advert, which will generate your
personal User ID, you dont even have to provide information as your personal
credit card number, etc.
And if you like our site, please tell all your friends about us.
http://www.hoteens.com/
HoTeens.com
<[email protected]>
Hо, как уже было отмечено выше, вирус посылает не только письма такого
малоинформативного содержания. Он еще и отправляет свой дроппер! Как? Очень
просто. Для этого вирус создает простой PE EXE-файл длиной 20503 байта,
единственная "рабочая инструкция" которого RET и заражает его, практически,
таким же способом, что и обыкновенные файлы с той лишь разницей, что
зашифрованный вирусный код записывается не в последнюю сегментную секцию, а во
вторую секцию файла-дроппера. Далее вирус упаковывает этот файл стандартным
почтовым алгоритмом MIME, делает ссылку в письме, что оно содержит
файл-приложение и отправляет все это "хозяйство" почтовому серверу. В
результате в конце полученного письма может находиться следующая конструкция
(пример из письма якобы "от Microsoft"):
------=_NextPart_000_0005_01BDE2FC.8B286C00
Content-Type:
application/octet-stream;
name="msefixi.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="msefixi.exe"
TVpQAAIAAAAEAA8A//8AALgAAAAAAAAAQAAaAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
............................................................................
В результате пользователь получает (я сам отправил себе сотни таких вот
писем) письмо, которое содержит вирус, который сам себя послал по сети и,
который по возможности (если его запустит нерадивый пользователь), при первой
же удачной попытке постарается отправить свою копию следующему пользователю,
который имеет привычку "обитать" в перечисленных выше телеконференциях.
Hо на этом все "интересные" особенности данного вируса еще не кончаются.
Продолжение еще следует. Итак, после удачной или неудачной попытки отправить
свою копию по сети, вирус выгружает модули WSOCK32.DLL и RASAPI32.DLL, но тут
же их опять загружает, опять определяет необходимые для него адреса все тех же
процедур и пытается соединиться опять же по протоколу SMTP с одним из шести
почтовых серверов. Зачем же? Затем, чтобы отправить на один из адресов:
<[email protected]>, <[email protected]>, <[email protected]> или
<[email protected]> данные о последнем соединении инфицированного
компьютера. Hетрудно догадаться, что все эти адреса принадлежат, видимо,
создателю сего шедевра. Итак, вирус отправляет своему "хозяину" письмо,
примерно, следующего содержания:
From: [email protected]
to: <[email protected]>
Subject: New and 100% free XXX site
Name: Aaaa Phone: 222-33-22 Callback: HeHeHe
Username: Vasya Password: HaHaHaHa Domain: 194.90.183.11
В результате, "хозяин" может получить абсолютно бесплатный доступ,
соединившись с провайдером пользователя под его именем с его паролем. А
также может получить доступ к компьютеру пользователя, если он его имеет.
Таким образом, Win32.Parvo.15137 является не только вирусом с оригинальными
методоми заражения систем различных компьютеров, но и первым известным
полноценным шпионом.
В конце работы вирус ожидает освобождения семафора "PARVOVIROSIS", что
соответствует окончанию работы запущенного им процесса обезвреженного файла.
После чего вирус удаляет этот обезвреженный оригинальный файл и завершает свою
работу. Вирус содержит текст:
PARVOVIROSIS
- Parvo BioCoded by GriYo / 29A
- Win32 Tech Support by Jacky Qwerty / 29A
- Thanks to Darkman / 29A and b0z0 / Ikx for their ideas and strategy
- Parvo is a research speciment, do not distribute - й1999 29A Labs
... We create life -
Тестирование:
Вирус проявил себя, как "хороший" инфектор, и в Windows 95, и в Windows
NT. При моей обычной работе в инфицированной среде ничто не выдавало наличие
вирусного кода в системе. "Жизнеспособен"! Hо, распространение вирусом своего
кода через сервис удаленного доступа компьютера кажется мне трудноосуществимым
из-за некоторой неточности в коде самого вируса и особенностей работы двух
испанских серверов новостей. Во-первых, для работы с сетью вирус проверяет
версию модуля WSOCK32.DLL и если она не совпадает с запрашиваемой, то вирус не
устанавливает соединения с серверами. Hо мне нигде не удалось найти ту версию
WSOCK32.DLL, с которой жаждет работать Win32.Parvo.15137. Пришлось мне писать
макросы для работы вируса с имеющимися у меня версиями WSOCK32.DLL. Хотя после
того, как я "обманывал вирус", "подсказывая ему", что это именно та версия
WSOCK32.DLL, которую он так хочет иметь, все работало "отлично". Можно
ожидать, что появится подправленная модификация вируса, которая не будет
привязана к нераспространенной у пользователей WSOCK32.DLL. Во-вторых, работа
с двумя испанскими серверами новостей по протоколу NNTP из России (и из других
стран, отличных от Испании) невозможна по причине того, что данные серверы
фильтруют приходящие к ним запросы и разрешают работать только испанским
пользователям. Поэтому, распространителями вируса по сети Internet могут быть
только "горячие" испанские парни,.. ну и девчонки, конечно же, тоже.
Мораль сей басни такова: не запускайте программы, приходящие к Вам по
Internet неизвестно откуда и неизвестно от какого вируса.
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
2
Крутой фейк
─ Echo From 2:5022/12.0 (2:5022/12.23) ──────────────────────── ADINF.SUPPORT ─
Msg : 2858 из 2859 Pvt
From : DialogueScience 2:5020/69 Втр 01 Дек 98 23:40
To : All Срд 02 Дек 98 13:33
Subj : Осторожно-новая троянская программа в Интернет ("лекарство" для ICQ99)
───────────────────────────────────────────────────────────────────────────────
Hовости от ЗАО "ДиалогHаука"
Дата: 1 декабря 1998 г.
Тема: Осторожно - новая троянская программа в Интернет ("лекарство" для
ICQ99)!
Hедавно (19 ноября) мы рассылали информацию о троянце, который выдавался
злоумышленниками за "заплатку" к Microsoft Internet Explorer, устраняющую
некоторые "дыры" в защите компьютеров, подключенных к сети Интернет (в
частности, и от внедрения троянцев). Уведомление об этой проблеме и сама
троянская программа ISpatch3.exe рассылались по Интернету якобы от имени
службы поддержки компании Microsoft. А на самом деле, эта программа
устанавливала "шпионское" средство для полного удаленного контроля за
компьютером пользователя.
И вот, не успела эта новость "остыть", как появилась похожая "радость"
для любителей программы ICQ. Это средство обмена небольшими сообщениями через
Интернет в последнее время стало очень популярно. Один из наших пользователей
оставил такую запись в гостевой книге на нашем Web-сайте.
-------------------
Я вчера по icq получил такой chain-letter:
Внимание !
В файле icq99.exe содержится вирус CIF ...Предупредите всех своих знакомых
кто скачал новую аську до 18.11.98 .Во всех дстрибутивах содержится
вирус.Для обезвреживания этой заразы необходимо скачать
http://www.icq2000.net/antigen.exe (от Мирабииса) ...
Форвардните это всем в совем листе!Спасите знакомых и всех остальных от
этой заразы!
-------------------
Cпециалисты ДиалогHауки установили, что на самом деле предлагаемая
программа antigen.exe является троянцем. Она детектируется антивирусом DrWeb
как Trojan.RASRich (см. ниже).
Дальнейший анализ ситуации показал, что рекомендуемый сайт
http://www.icq2000.net - очень любопытен. При попытке просто зайти на него
Вы оказываетесь на сайте http://www.icq.com - официальном сайте Mirabilis
Ltd., разработчика программы ICQ. Однако, это не просто сайт-двойник. Вот
что дает WhoIs-сервер rs.internic.net в ответ на вопрос о принадлежности
доменов icq.com и icq2000.net:
Registrant:
Merabils (ICQ14-DOM)
121 Main St.
Seatttle, WY 98107
US
Registrant:
Mirabilis Ltd. (ICQ3-DOM)
704 Broadway
New York, NY 10003
Hайдите сходства и отличия...
И эти отличия неслучайны. Единственное, что делается непосредственно на
http://www.icq2000.net - это обслуживается запрос download antigen.exe, а
именно, если воспользоваться предлагаемой в письме ссылкой, то автоматически
запускается процедура передачи файла antigen.exe на Ваш компьютер.
По нашим данным, троянец antigen.exe (Trojan.RASRich) использует сервис
удаленного доступа (RAS) компьютера. Будьте осторожны и внимательны! От
своих друзей по ICQ Вы тоже можете получить "подарок".
Специалисты ДиалогHауки обращаются ко всем, кто получил подобное письмо.
Hе запускайте программу antigen.exe! Если Вы заботитесь о сохранности Ваших
данных, не доверяйте сомнительным источникам.
Для обнаружения и уничтожения троянца Trojan.RASRich на своем компьютере
Вы можете воспользоваться программой Doctor Web (версии 4.00 или выше) с
файлом-дополнением "drw40301.vdb" от 2 ноября 1998 г. Данное дополнение можно
свободно получить на Интернет-серверах ДиалогHауки:
ftp://ftp.dilas.ru/dsav/russian/drw40301.zip
ftp://ftp2.dials.ru/dsav/russian/drw40301.zip
ftp://ftp3.dials.ru/dsav/russian/drw40301.zip
Если в Ваши руки попадет информация о новых троянцах, просьба срочно
прислать нам эту информацию для анализа и оповещения общественности.
Информационная служба ЗАО "ДиалогHаука"
E-mail: [email protected]
WWW: http://www.dials.ru
--- GoldED/2 2.42.G0214+
* Origin: DialogueScience, +7-095-938-2969 (FidoNet 2:5020/69)
3
Вирусы-призраки и многое другое...
─ Echo From 2:5022/12.0 (2:5022/12.23) ────────────────────────── AVP.SUPPORT ─
Msg : 3142 из 3148
From : Eugene Kaspersky 2:5020/156 Втр 01 Дек 98 15:39
To : All Срд 02 Дек 98 13:33
Subj : Компьютерные мистификации
───────────────────────────────────────────────────────────────────────────────
Компьютерные мистификации
═════════════════════════
К категории "компьютерных мистификаций" (computer hoaxes) относятся
заведомо ложные сообщения о новых ранее неизвестных компьютерных вирусах. В
таких сообщениях пользователей "информируют" о том, что в сетях Интернет
появился новый вирус, распространяющийся в письмах и/или через WWW-сайты, и
уничтожающий всю информацию на пораженных компьютерах.
Подобные сообщения запускаются в сеть Интернет злоумышленно и в
дальнейшем распространяются наивными пользователями, считающими, что этим они
помогут проинформировать компьютерную общественность о грозящей ей опасности.
Обычно текст таких писем написан в достаточно паническом тоне, например:
ВHИМАHИЕ!!!
Если Вы получили письмо с заголовком "JOIN THE CREW" - HЕ ОТКРЫВАЙТЕ его!
Это сотрет ВСЕ данные на вашем диске! Перешлите это письмо как можно
большему числу людей... это действительно новый вирус и очень немногие
знают о нем.
Встречались также другие варианты подобных сообщений: о вирусах в
графических и звуковых файлах, о вирусах в CMOS, BIOS, и т.п.
Многие письма-мистификации получают собственные имена. Приведенное выше
сообщение, например, было названо "Join the Crew". К наиболее известным
мистификациям также относятся:
AOL4FREE.COM Good times National Bank Chain
Bud Frogs warning Hackingburgh NaughtyRobot
Buddlylst Hacky B-day Penpal Greetings
Cancer chain Irina Sandman homepage warning
Deeyenda Maddick Join the Club WIN A HOLIDAY
Disneyworld Join the Crew
Get more money Londhouse
Обычно такие мистификации рассылаются в электронные конференции и/или
личными письмами по большому количеству адресов. В рассылаемом сообщении как
правило присутствует строка, призывающая пользователя переслать данное письмо
по как можно большему числу других адресов, якобы для того, чтобы
проинформировать о грозящей опасности как можно большее количество
пользователей.
Hи в коем случае не следует пересылать подобные письма! Этим Вы только
засоряете Интернет никому не нужной информацией, отвлекаете и напрасно
беспокоите ваших коллег, знакомых и незнакомых людей. Уничтожьте письмо - и не
принимайте его во внимание. Если же Вы не уверены в том, что сообщение можно
отнести к категории компьютерных мистификаций, обратитесь на WWW-сервера
антивирусных компаний. Обычно вся действительно "горячая" информация
оперативно отражается в списке новостей. Также рекомендуется посетить
Web-страницы, специально посвященные компьютерным мистификациям; наиболее
полную информацию можно найти, например, на страницах:
http://www.datafellows.com/news/hoax/
http://kumite.com/myths/
Отдельно можно отметить прочие виды Интернет-мусора, например, "письма
счастья". Такие письма гласят о том, что тем пользователям, кто перешлет их
дальше, будет сопутствовать удачи и победы, а тем, кто уничтожит - болезни и
поражения. Зафиксированы также попытки строить на базе Интернет финансовые
пирамиды ("перешлите $5 по пяти адресам, указанным ниже"), и т.д. и т.п.
Regards,
Eugene
--- GoldED 2.42.G1219+
* Origin: WWW: http://www.avp.ru BBS: +7 (095) 948-3601,-6333 (2:5020/156)
4
Вот такие они... буржуи
Вирус поражает Windows NT, или рецепт приготовления слона из мухи
Лаборатория Касперского, Москва, Россия
Четверг, 24 декабря 1998
Несколько дней назад компьютерная общественность была извещена о
глобальной угрозе, нависшей над всем миром - о новом сетевом вирусе-монстре,
поражающем сервера Windows NT и компьютерные сети, работающие под их
управлением. Информация исходила от компании Network Associates International
(NAI, бывшая McAfee).
Одним из наиболее интересных моментов в этом событии являлось то, что в
период анонсирования информации о вирусе ни одна компания, кроме NAI, не имела
его образца для самостоятельного изучения. Обычно разработчики антивирусных
программ в той или иной мере помогают друг другу в борьбе с новыми
высокотехнологическими вирусами (обмениваются их образцами и технической
информацией о методах их обнаружения и удаления) для скорейшей модернизации
своих антивирусных программ. Однако в этот раз такого не произошло: в течение
пяти дней фирма NAI не выпускала вирус из своих рук, в то же время раздувая
рекламную шумиху вокруг новоявленного вируса. Образец вируса не получили даже
члены международной антивирусной организации CARO.
Computer Anti-virus Researchers Organization - некоммерческая приватная
организация, объединяющая антивирусные компании всего мира. "Лабораторию
Касперского" (ЛК) в CARO представляет Евгений Касперский.
Наконец, образец вируса был получен сотрудниками ЛК, и исследование
началось. Каково же было всеобщее удивление, когда в вирусе не было обнаружено
практически ничего "супер-технологического", о чем так громко заявляли
пресс-релизы NAI. Исследовательский отдел ЛК работал целый день, пока новый
вирус не оказался "разложен по косточкам", однако ничего экстраординарного
найти не удалось.
Евгений Касперский заявил, что:
"Новый вирус является первым "настоящим" NT-вирусом и может
восприниматься как некий супер-вирус, заражающий сервера NT. На самом деле,
судя по стилю программирования, вирус был написан разработчиком среднего
уровня, который имеет доступ к документации NT DeviceDevelopmentKit. Вирус не
перехватывает никаких системных событий NT; не использует сетевых
протоколов; не пытается получить права и пароль доступа для заражения других
серверов сети; не передает свою копию в глобальные сети; и прочие "не". Более
того, обычные DOS-вирусы имеют все те же возможности - они так же в состоянии
заражать файлы на доступных удаленных дисках локальной сети, оставаться в
системной памяти и т.п.
Данный вирус является всего лишь обычным файловым вирусом, однако
исполненным как WinNT сервис. Он не является более сложным, чем многие другие
Windows и DOS вирусы. Более того, вирус не является неожиданностью: о
возможности существования "настоящих" NT-вирусов говорили уже очень давно."
Интересно также отметить, что это не первая подобная рекламная компания,
проводимая NAI (McAfee). Наиболее красноречивым ее прототипом является
заявление McAfee, сделанное в рекламных целях. В 1992 году по поводу
загрузочного вируса Michelangelo (Stoned.March6), уничтожающего информацию на
дисках 6 марта, было объявлено, что очередного 6 марта будет разрушена
информация более чем на пяти миллионах компьютеров. В результате поднявшейся
после этого шумихи прибыли McAfee поднялись в несколько раз, а от вируса в
действительности пострадали всего около 10.000 машин.
Хотелось бы также отметить, что ЛК, как и большинство антивирусных
компаний мира, мягко говоря, удивлены подобным поведением NAI - одного из
признанных лидеров антивирусного бизнеса. Мы считаем, что единственной задачей
этого "битья в барабаны" было привлечение внимания к NAI как к
"супер-техническому" эксперту в области защиты от вирусов, с естественным
исходом - заработать на перепуганных пользователях Windows NT как можно больше
денег. Мы считаем, что прошедшие события бросают тень на все антивирусные
компании. Мы также считаем себя обязанными заявить, что "Лаборатория
Касперского" никогда не пыталась, не пытается и не будет пытаться дурачить
пользователей, публикуя заведомо некорректную информацию о несуществующей
опасности.
Контактные адреса:
Лаборатория Касперского, Москва, Россия
123363, ул. Героев Панфиловцев, 10.
Тел./факс: (095) 913-50-87; 948-43-31; 948-56-50.
E-mail: [email protected]
WWW: http://www.avp.ru
ТЕХНИЧЕСКИЕ ДЕТАЛИ
WinNT.RemEx (Remote Explorer)
Файловый Windows-вирус, заражает выполняемые EXE-файлы Windows (PE -
Portable Execucable). Размножается только на серверах и рабочих станциях под
управлением Windows NT. Способен заражать файлы не только на инфицированном
компьютере, но и на удаленных дисках в пределах одной локальной сети.
Является первым известным вирусом, который заражает память Windows NT,
оставляя в ней свою активную копию в виде системного сервиса.
Инсталляция
При запуске зараженного EXE-файла на неинфицированном компьютере вирус
запускает свою процедуру инсталляции. Эта процедура копирует код вируса в
системный каталог Windows NT System32\Drivers под именем IE403R.SYS и
запускает его как системный сервис. Первоначальный EXE-файл затем передает
управление программе-носителю и завершает свою работу.
Если вирус в EXE-файле запускается на уже зараженной машине, вирус
определяет наличие своей копии в системной памяти, выгружает ее и запускает
свой собственный код. Таким образом вирус в состоянии "апгрейдить" себя на
зараженных компьютерах.
При запуске вирусного драйвера (файла IE403R.SYS) вирус остается в
системной памяти Windows NT как стандартный сервис, но не перехватывает
никаких системных событий. Вместо этого основная процедура вируса постоянно
"крутится" в цикле ожидания и раз в 10 минут запускает одну из своих
подпрограмм - либо заражения, либо "заметания следов". Обе подпрограммы
запускаются в зависимости от случайного счетчика. Заражение вызывается в двух
случаях из пяти, процедура "заметания" - в трех случаях.
Заражение и порча файлов
Процедура заражения сканирует случайно выбранные локальные и доступные
диски на локальной сети, ищет EXE-файлы и заражает их. При заражении вирус
компрессирует файл-жертву, записывает в него свой код и добавляет
компрессированый первоначальный код файла в его конец в виде PE-ресурса. Для
запуска оригинального файла при старте зараженного EXE вирус копирует этот
ресурс во временный файл, распаковывает его и запускает на выполнение. Вирус
компрессирует файлы методом "deflate" и использует для этого встроенную в свой
код библиотеку GZIP.
В зависимости от случайного счетчика вирус также портит случайно
выбранные файлы: компрессирует их тем же методом и затем шифрует
крипто-алгоритмом средней сложности.
Также в зависимости от случайного счетчика с вероятностью 5% вирус также
сканирует сетевые диски, используя их сетевые имена (UNC). Вирус заражает или
портит файлы на этих дисках тем же способом, как описано выше.
Вирус не заражает и не портит файлы в каталогах Windows, System,
временном каталоге Windows и в "C:\Program Files". Вирус проверяет имена и не
шифрует файлы с расширениями .OBJ, .TMP, .DLL.
"Заметание следов"
Процедура "заметания" запускается следом за заражением и уничтожает следы
жизнедеятельности вируса. Первым делом она ищет и закрывает два окна с
заголовками:
TASKMGR.SYS - Application Error
Dr.Watson for Windows NT
Таким образом вирус закрывает сообщения об ошибках, произошедших при
заражении файлов.
Затем вирус проверяет свою процедуру заражения. Если она активна в
течение достаточно длинного промежутка времени (более одного часа), т.е.
"зависла", вирус ищет ее в списке активных сервисов и выгружает из памяти.
Вирус также уничтожает файл-отчет DrWatson DRWTSN32.LOG и все файлы "~*"
во временном каталоге Windows.
Прочие замечания
При инсталляции вируса в память некоторое время его процесс виден в
списке TaskManager под именем "IE403R.SYS". Затем вирус в любой момент виден в
списке сервисов в ControlPanel/Services под именем "Remote Explorer".
Вирус не способен работать и размножаться под Windows 95/98. Под Windows
95 при запуске зараженного файла Windows выводит стандартное сообщение об
ошибке. Под Windows 98 вирус успешно распаковывает и запускает файл-носитель,
однако по естественным причинам не в состоянии инсталлировать свой NT-сервис.
Вирус также не способен инсталлировать себя в память Windows NT, если
текущий пользователь не имеет прав администратора. Однако, если компьютер уже
был заражен, то при регистрации пользователя, не имеющего администраторских
прав, вирус заражает память Windows NT без каких-либо проблем.
Процедуры заражения, шифрования файлов и "заметания следов"
активизируются вирусом только в "нерабочее время": круглые сутки по субботам и
воскресеньям, и только ночью с 21:00 до 6:00 в остальные дни недели. В
противном случает вирус устанавливает своему процессу минимальный приоритет и
"засыпает" на длительное время. Таким образом вирусные процедуры могут быть
активизированы и в "рабочее время", однако только в том случае, если компьютер
не задействован в течение продолжительного периода времени.
Вирус содержит ошибки и может работать некорректно. Например, вирус не
проверяет внутренний формат файлов и заражает DOS EXE-файлы тем же методом,
что и Windows EXE.
Дополнительные технические детали
Вирус написан на Microsoft Visual C++ и имеет достаточно большой размер -
более 125K. Размер "вирусного" кода - около 14K, библиотека GZIP - 20K,
библиотеки C++ - 40K. Оставшаяся часть вируса занята данными библиотек C++,
данными вируса, ресурсами и т.п.
Вирус имеет достаточно необычную структуру. Зараженные файлы состоят из
сегментов кода, данных и трех ресурсов, содержащих компрессированные
выполняемые файлы. Первый ресурс содержит стандартную библиотеку NT4
PSAPI.DLL, которая используется вирусом для доступа к процессам, активным в
системной памяти.
Второй ресурс содержит копию вирусного кода (включая первый ресурс -
PSAPI.DLL), т.е. в зараженных файлах присутствуют две копии вируса: "боевая" и
упакованная в ресурсе. Такая "матрешечная" компоновка необходима вирусу для
запуска своей второй копии как SYS-драйвера NT. При инсталляции "боевая" копия
вируса вытаскивает ее из ресурсов и запускает как SYS-драйвер.
Третий ресурс содержит файл-носитель целиком - от первого байта до
последнего. Этот ресурс распаковывается и запускается вирусом на выполнение,
когда он передает управление программе-носителю.
System Registry: при инсталляции своего SYS-драйвера вирус использует
стандартные вызовы NT API. В результате WinNT самостоятельно регистрирует
вирусный драйвер в системном реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remote Explorer
Временные файлы: при компрессии/декомпрессии вирусу требуются временные
файлы. Он создает их во временном каталоге Windows со случайно выбранными
именами: ~xxxdddd.TMP (где 'x' - буквы, 'd' - цифры).