Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Frethem - robak i backdoor w jednym

Jest to rodzina robaków rozprzestrzeniających się poprzez zainfekowane wiadomości e-mail. Wirusy mają postać plików Windows PE EXE o rozmiarze od 31 do 35 KB (w zależności od wersji). Szkodniki są skompresowane przy użyciu narzędzi PE-Pack oraz UPX i zostały stworzone przy użyciu środowiska programistycznego Microsoft Visual C++.

Zainfekowane wiadomości wysyłane przez kolejne wersje robaków wyglądają następująco:

Frethem.a

Temat: Re: Do your Windows looks like Windows XP? I have found very nice desktop themes!

Treść wiadomości:

Hello!
Do you like modern design of new Windows XP?! I have found FREE and easy to use desktop themes!
You can open attach with web site and samples! Enjoy it!!!

Załączony plik: www.freedesktopthemes.com

Frethem.b,c,f,h

Temat: Re: Your password!
Treść:
Załączone pliki: yourpassword.exe, password.txt

Frethem.d

Temat: Re: Do your Windows looks like Windows XP? I have found very nice desktop themes!

Treść:

Hi!
There is good news for you!
Do you like modern design of new Windows XP?! I have found FREE and easy to use desktop themes!
You can open attach with web site and samples! It's really cool! Enjoy it!!!
Yours, %nadawca%

Załączony plik: www.xpdesktopthemes.com

Frethem.e,g,j,k,l

Temat: Re: Your password!

Treść:

ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk use your mind
now press cancel

Załączone pliki: decrypt-password.exe, password.txt

Plik EXE załączony do wiadomości zawiera kod wirusa, natomiast plik TXT jest plikiem tekstowym, w którym zapisany jest fałszywy ciąg, przykładowo: "Your password is W8dqwq8q918213".

Uruchomienie zainfekowanego załącznika

Niektóre wersje robaka wykorzystują lukę w zabezpieczeniach programu Microsoft Internet Explorer (zwaną IFRAME). Zatem robak może się uaktywniać zarówno automatycznie (na systemach, które nie zostały odpowiednio "załatane"), jak również w wyniku uruchomienia załącznika przez użytkownika.

Instalacja

Na początku robak sprawdza układ klawiatury atakowanego komputera. Jeżeli wykryta zostanie obsługa klawiatury rosyjskiej lub uzbeckiej (strona kodowa 419 lub 843) szkodnik kończy swoje działanie nie wykonując żadnych operacji.

Następnie robak kopiuje się do katalogu startowego Windows z nazwą "setup.exe":

%folder Windows%\Menu Start\Programy\Autostart\setup.exe

Jeżeli katalog "Autostart" nie zostanie znaleziony wersje "k", "l" oraz "m" umieszczają swoje kopie w folderze Windows z nazwą "taskbar.exe".

W wyniku wykonania powyższych operacji szkodnik uaktywnia się wraz z każdym startem systemu operacyjnego.

Rozprzestrzenianie

Szkodnik wykorzystuje protokół SMTP w celu wysyłania zainfekowanych wiadomości e-mail. Adresy "ofiar" pobierane są z książki adresowej Windows (WAB) oraz z plików DBX.

Backdoor

Procedura backdoor wchodząca w skład robaka losowo wybiera jeden z adresów URL i łączy się z nim. Lista adresów jest przechowywana w kodzie szkodnika i zawiera od 10 do 50 pozycji (w zależności od wersji robaka).

Następnie wirus pobiera plik z wylosowanego adresu i wykonuje zapisane w nim komendy, przykładowo:

  • uruchamia komendy na zainfekowanym systemie;
  • pobiera i uruchamia własne "uaktualnienia" w postaci plików EXE.

Podczas uruchamiania procedury backdoor robak tworzy w folderze Windows dwa pliki: STATUS.INI oraz WIN64.INI.

Informacje dodatkowe

W kodzie szkodnika zapisany jest tekst:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

Tekst ten może być również zapisywany przez robaka w pliku "winstat.ini" znajdującym się w folderze Windows.

Wszystkie wersje robaka Frethem są wykrywane przez program Kaspersky Anti-Virus z zainstalowanymi najświeższymi uaktualnieniami antywirusowych baz danych.



 2002-07-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych