Лаборатория Касперского
Интернет-червь "Курникова" преследует поклонников знаменитой теннисистки
Кроме тех, кто использует Антивирус Касперского
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает об обнаружении в "диком виде" новой модификации Интернет-червя "Lee", более известной как "Курникова". Червь уже успел поразить ряд компьютерных систем в США и Восточной Азии. Вместе с тем, он не представляет никакой опасности для пользователей Антивируса Касперского: благодаря интегрированной в программу уникальной технологии эвристического анализа программного кода, эта вредоносная программа обнаруживается без каких-либо дополнительных обновлений антивирусной базы.
Методы распространения и работы данного червя практически идентичны печально известному "ILOVEYOU", вызвавшему глобальную эпидемию в мае прошлого года. "Курникова" создан при помощи генератора вирусов "[K]Alamar's Vbs Worms Creator", позволяющему даже начинающим пользователям выпускать свои собственные вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространяется по сети Интернет при помощи сообщений электронной почты, содержащих вложенный файл "AnnaKournikova.jpg.vbs".
lee.bmp
После запуска файла червь регистрирует себя в системном реестре Windows, получает доступ к адресной книге почтовой программы MS Outlook и незаметно для пользователя рассылает свои копии по всем найденным адресам электронной почты. Во избежание повторной рассылки червь создает дополнительный ключ в системном реестре:
HKEY_CURRENT_USERSoftwareOnTheFlymailed
Червь не содержит каких-либо опасных побочных действий. Помимо массовой рассылки зараженных файлов, перегружающей корпоративные и персональные каналы передачи данных, 26 января "Курникова" запускает Интернет-броузер и открывает голландский Web сайт:
Dynabyte.bmp
Подобно "ILOVEYOU" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Однако при запуске файла он передается на обработку процессору скрипт-программ Windows Scripting Host, который и выполняет код червя.
"Курникова" - далеко не технологическое достижение в области создания вредоносных программ. Это самый обычный скрипт-вирус, использующий хорошо известные методы проникновения на компьютеры. Единственная причина, благодаря которой он получил такое распространение - использование имени Анны Курниковой, хорошо известной не только великолепной игрой в теннис, но также и отчасти гипнотическим влиянием на мужскую половину человечества. Последнее обстоятельство и предопределило невозможность некоторых пользователей устоять перед соблазном посмотреть на фотографию любимой спортсменки", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Предотвращение заражения
В целях недопущения проникновения червя "Лаборатория Касперского" советует пользователям ни в коем случае не запускать файл "AnnaKournikova.jpg.vbs". Мы также рекомендуем системным администраторам настроить фильтры входящей и исходящей почтовой корреспонденции таким образом, чтобы блокировать пересылку электронных сообщений, содержащих такие файлы.
Методы удаления
Для удаления из системы данного Интернет-червя необходимо выполнить следующие шаги:
1) удалить файл "AnnaKournikova.jpg.vbs" из системного каталога Windows;
2) стереть следующие ключи системного реестра Windows:
HKEY_CURRENT_USERSoftwareOnTheFly
HKEY_CURRENT_USERSoftwareOnTheFlymailed
Напомним, что данный Интернет-червь определяется "Антивирусом Касперского" по умолчанию и не требует никаких дополнений антивирусной базы.
Информационная служба "Лаборатории Касперского"
Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре 2000 года.
Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor.
Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение:
Структура вируса г===============¬ ¦ Вирусные ¦ --> инсталлирует в систему компоненты червя и backdoor, ¦ процедуры ¦ затем ищет и заражает Win32 EXE-файлы ¦ иснталляции и ¦ ¦ заражения EXE ¦ ¦---------------¦ ¦ Код червя ¦ --> распаковывается и запускается как отдельная программа ¦ (упакован) ¦ ¦---------------¦ ¦ Backdoor-код ¦ --> распаковывается и запускается как отдельная программа ¦ (упаковаан) ¦ L===============- Зараженный EXE-файл г===============¬ ¦ Код и данные ¦ ¦ файла ¦ ¦ ¦ ¦===============¦ ¦ Код вируса: ¦ ¦--------------¬¦ ¦¦ Инсталляция ¦¦ ¦¦ и заражение ¦¦ ¦+-------------+¦ ¦¦ Червь ¦¦ ¦+-------------+¦ ¦¦ Backdoor ¦¦ ¦L--------------¦ L===============-Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология - не вполне понятно.
Вирусная компонента содержит строки текста:
SABI+.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0,
Anaktos
Greetz: All VX guy in #virus and Vecna for help us Visit us at:
http://www.coderz.net/matrix
Червь содержит текст:
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix
Backdoor содержит текст:
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas
При заражении файлов вирус использует технологию "Entry Point Obscuring" (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление соответствующий блок кода зараженной программы.
Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру.
Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:
AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan
Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут "скрытый":
IE_PACK.EXE - "чистый код" компоненты-червя
WIN32.DLL - червь (копия предыдущего файла), зараженный вирусом
MTX_.EXE - backdoor-компонента
Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу.
ЧервьДля рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве "Happy". Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура "send"). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет.
Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:
NUL=C:WINDOWSSYSTEMWSOCK32.DLL
C:WINDOWSSYSTEMWSOCK32.DLL=D:WINDOWSSYSTEMWSOCK32.MTX
После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.
Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, и т.д.)
Червь также блокирует отсылку писем на домены:
wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*
Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь "Happy"). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
В качестве файла-вложения используется WIN32.DLL, созданный вирусной компонентой при инсталляции в систему (WIN32.DLL является кодом червя, зараженным вирусом).
Следует отметить, что сам червь не создает WIN32.DLL и неспособен к дальнейшему распространению без этого файла. Т.е. "чистый код" червя не в состоянии сомостоятельно распространяться без "помощи" вирусной компоненты.
Известные версии червя содержат ошибку, в результате которой многие почтовые сервера не в состоянии принять сообщение с кодом червя-вируса. Однако, если используется соединение Dial-up или почтовый сервер имеет достаточную мощность, червь рассылает себя без особых проблем.
BackdoorBackdoor-компонента создает в системном реестре два ключа:
HKLMSoftware[MATRIX]
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup=%WinDir%MTX_.EXE
где %WinDir% является основным каталогом Windows.
Первый ключ является идентификатором зараженности системы; второй ключ используется для авто-запуска backdoor-компоненты при каждом рестарте Windows.
При запуске backdoor-компонента остается активной как скрытое приложение (сервис), периодически обращается и какому-то Интернет-серверу и пытается скачать оттуда файлы, которые затем скрытно запускаются на выполнение. Таким образом, backdoor-компонента в состоянии по желанию автора вируса заразить компьютер другими вирусами или установить другие троянские программы.
Эта компонента также содержит ошибку, в результате которой при скачивании файлов Windows выдает стандартное сообщение об ошибке в приложении и завершает его работу.
Blebla.bРимейк оригинальной версии червя. При запуске червь копирует себя в систему под именем c:windowssysrnj.exe и затем создает и модифицирует множество ключей системного реестра для активизации этой копии.
HKEY_CLASSES_ROOTrnjfile
DefaultIcon = %1
shellopencommand = sysrnj.exe "%1" %*
этот ключ вызывает запуск копии червя при ссылках на файл "rnjfile", все последующие изменяемые червем ключи как раз и перенаправляют управление на копию червя:
HKEY_CLASSES_ROOT .exe = rnjfile
.jpg = rnjfile
.jpeg = rnjfile
.jpe = rnjfile
.bmp = rnjfile
.gif = rnjfile
.avi = rnjfile
.mpg = rnjfile
.mpeg = rnjfile
.wmf = rnjfile
.wma = rnjfile
.wmv = rnjfile
.mp3 = rnjfile
.mp2 = rnjfile
.vqf = rnjfile
.doc = rnjfile
.xls = rnjfile
.zip = rnjfile
.rar = rnjfile
.lha = rnjfile
.arj = rnjfile
.reg = rnjfile
таким образом, при запуске/открытии файлов .EXE, .JPG, .JPEG и т.д. вызывается копия червя.
Эти ключи вызывают запуск червя при открытии любого из перечисленных выше файлов.
Червь посылает свои копии в конференцию USENET alt.comp.virus в файле, присоединенном к сообщениям:
From: "Romeo&Juliet" [[email protected]]
Subject:[Romeo&Juliet] R.i.P.
При рассылке своих копий по адресам электронной почты из адресной книги Windows червь использует разные варианты заголовка письма. "Тема" (Subject) сообщений червя может быть пустой, сгенеренной случайным образом или выбранной из следующего списка:
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...'
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
^_^
Re:
В зависимости от некоторых условий червь создает на зараженной машине в случайной последовательности дисковые каталоги с именами, взятыми наугад из папки Recycled, и создает в них файлы со случайными же именами.
Макро-вирусы семейства заражают область глобальных макросов (шаблон NORMAL.DOT) при открытии зараженного документа. Другие документы заражаются при их закрытии. Некоторые варианты вируса заражают файлы также при их открытии. При заражении вирусы семейства дописываются к уже существующим макросам документа (если таковые присутствуют).
Вирусы содержат строку текста, по которой определяют начало своего кода. В различных версиях вируса эта строка различна: