Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Winevar - usuwa pliki zapisane na twardych dyskach

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości, pod postacią pliku PE EXE o rozmiarze około 91 KB, stworzonego przy pomocy środowiska programistycznego Microsoft Visual C++. Wirus został wykryty na wolności 21 listopada 2002 w Korei.

W celu uruchamiania się z zainfekowanych wiadomości e-mail, robak wykorzystuje lukę w zabezpieczeniach programu Internet Explorer, znaną jako IFRAME.

Instalacja

Podczas instalacji robak kopiuje się z losowo wybraną nazwą do systemowego folderu Windows:

WIN%część_losowa%.PIF

gdzie %część_losowa% to zestaw losowych znaków. Szkodnik tworzy dla swojej kopii klucze auto-run w rejestrze systemowym:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\
    CurrentVersion\RunServices

Robak dopisuje do utworzonych kluczy następujące wartości:

  • {default} = %nazwa pliku robaka%
  • %nazwa robaka% = %nazwa pliku robaka%

gdzie %nazwa robaka% jest nazwą szkodnika bez żadnych rozszerzeń, natomiast %nazwa pliku robaka% to pełna nazwa pliku, przykładowo:

  • {default} = "C:\TEMP\WIND2C2.pif"
  • "WINA2B3" = "C:\WINDOWS\SYSTEM\WINA2B3.pif"

Podwójne zapisywanie warości {default} jest najprawdopodobniej spowodowane błędem w kodzie szkodnika.

Dodatkowo robak kopiuje się z nazwą "EXPLORER.PIF" na pulpit zainfekowanego komputera.

Następnie robak wyświetla na ekranie okno zawierające następujący komunikat:

Make a fool of oneself
What a foolish thing you have done!

Rozprzestrzenianie

W celu pobrania adresów "ofiar" robak skanuje pliki posiadające rozszerzenia .HTM oraz .DBX. Szkodnik wykorzystuje wszystkie znalezione adresy, z wyjątkiem rozpoczynających się od ciągu "microsoft@".

W celu wysyłania zainfekowanych wiadomości szkodnik wykorzystuje bezpośrednie połączenie z serwerem SMTP.

Podczas wysyłania wiadomości robak dodaje do swojej kopii następujące informacje:

  • identyfikator kraju (przykładowo [KOR] dla Korei),
  • bieżąca data i czas,
  • nazwa użytkownika oraz firmy zainfekowanego komputera.

Dzięki tym informacjom haker może śledzić proces "migracji" robaka.

Temat wiadomości jest wybierany losowo, w zależności od generacji szkodnika, spośród następujących możliwości:

  • Re: AVAR(Association of Anti-Virus Asia Reseachers)
  • N`4 %RegisteredOrganization%
  • N`4 Trand Microsoft Inc.

Trzeci wariant jest wybierany tylko wtedy, gdy w rejestrze systemowym nie ma klucza "RegistreredOrganization".

Treść wiadomości również jest zależna od wersji robaka i może wyglądać następująco:

%RegisteredOwner% - %RegisteredOrganization%

lub:

AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.

Oto przykładowe nazwy załączników zainfekowanych wiadomości:

MUSIC_1.HTM, MUSIC_2.CEO, WIN40B1.TXT, WIN40B1.GIF

Po ciągu "WIN" następuje sekwencja czterech losowych znaków (w powyższym przykładzie "40B1").

W celu uruchomienia się z zainfekowanej wiadomości robak wykorzystuje dwie luki w zabezpieczeniach:

  • Microsoft VM ActiveX Component,
  • Incorrect MIME Header Can Cause IE to Execute E-mail Attachment.

Druga z luk znana jest również jako "IFrame exploit/vulnerability". Więcej szczegółów na temat tych luk można znaleźć na następujących stronach:

Robak wyposażony jest również w procedurę pozwalającą mu na rozprzestrzenianie się w sieci lokalnej. Procedura ma kopiować zainfekowany plik EXPLORER.PIF do wszystkich udostępnionych zasobów sieciowych. Funkcja ta nie została jednak ukończona i nie jest wykorzystywana.

Funkcja dodatkowa

Robak szuka w pamięci aktywnych programów antywirusowych, zapór ogniowych oraz debugerów i kończy ich działanie, jak również usuwa należące do nich pliki. Po znalezieniu programu antywirusowego szkodnik, usuwa wszystkie pliki zapisane na twardych dyskach.

Dodatkowo wirus modyfikuje następujące klucze rejestru systemowego:

  • SOFTWARE\Microsoft\Windows NT\CurrentVersion
  • SOFTWARE\Microsoft\Windows\CurrentVersion

dodając do nich następujące wartości:

  • RegisteredOrganization = Trand Microsoft Inc.
  • RegisteredOwner = AntiVirus

Ponadto szkodnik uruchamia nieskończoną pętle, w której otwiera stronę http://www.symantec.com. Najprawdopodobniej twórca szkodnika miał na celu przeprowadzenie ataku DoS na serwer firmy Symantec.

W kodzie szkodnika można znaleźć następujący tekst:

~~ Drone Of StarCraft~~
http://www.sex.com/



 2002-11-25  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych