Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Tanatos.b (aka Bugbear.b) - kolejna wersja, kolejna epidemia

Jest to robak sieciowy rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 72 KB (kompresja UPX) i został stworzony przy użyciu środowiska programistycznego Microsoft Visual C++. Szkodnik infekuje pliki PE EXE zapisane na dyskach lokalnych i sieciowych, a ponadto wyposażony jest w procedurę backdoor.

Instalacja

Podczas instalacji robak kopiuje się z losową nazwą do folderu startowego Windows nie modyfikując żadnych kluczy rejestru systemowego. Dodatkowo szkodnik tworzy swoją kopię w folderze tymczasowym Windows z nazwą "vba%rnd%.TMP" (w tym i poniższych przykładach słowo %rnd% oznacza losowy ciąg alfanumeryczny). Następnie kopia ta jest uruchamiana i działa jako usługa, w związku z czym nie jest widoczna na liście procesów.

Ponadto robak tworzy następujące pliki:

w folderze systemowym Windows:

  • gpflmvo.dll - składnik rejestrujący znaki wpisywane z klawiatury (około 6 KB),
  • zpknpzk.dll - plik przechowujący wewnętrzne dane robaka,
  • shtchs.dll - plik przechowujący wewnętrzne dane robaka,

w folderze Windows:

  • %rnd%.dat - plik przechowujący wewnętrzne dane robaka.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości e-mail robak korzysta z własnego silnika SMTP. Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

*.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Adres widniejący w polu nadawcy zainfekowanej wiadomości może być sfałszowany (jest wybierany losowo spośród adresów znalezionych w zainfekowanym systemie).

Zainfekowane wiadomości mogą posiadać różne tematy i treści. Robak wybiera je losowo z plików tekstowych zapisanych na dyskach zainfekowanego komputera lub korzysta z następujących możliwości:

Greets!, Get 8 FREE issues - no risk!, Hi!, Your News Alert, $150 FREE Bonus!, Re:, Your Gift, New bonus in your cash account, Tools For Your Online Business, Daily Email Reminder, News, free shipping!, its easy, Warning!, SCAM alert!!!, Sponsors needed, new reading, CALL FOR INFORMATION!, 25 merchants and rising, Cows, My eBay ads, empty account, Market Update Report, click on this!, fantastic, wow!, bad news, Lost & Found, New Contests, Today Only, Get a FREE gift!, Membership, Confirmation, Report, Please Help..., Stats, I need help about script!!!, Interesting..., Introduction, various, Announcement, history screen, Correction of errors, Just a reminder, Payment notices, hmm.., update, Hello!.

Nazwa załącznika zainfekowanej wiadomości jest wybierana losowo przy użyciu kilku metod:

  1. Robak szuka plików *.INI w osobistych folderach użytkownika i w przypadku znalezienia pliku "%nazwa pliku%.INI" wysyła się pod nazwą "%nazwa pliku%.%rozszerzenie", gdzie %rozszerzenie% może mieć postać ".scr", ".pif" lub ".exe".
  2. Robak losowo wybiera nazwę załącznika spośród następujących możliwości:

    readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data.

    Z kolei rozszerzenie ponownie może mieć postać: ".scr", ".pif" lub ".exe".

  3. Robak szuka plików *.BMP, *.DOC, *.GIF, *.JPG oraz *.RTF i wykorzystuje ich pełne nazwy dodając własne rozszerzenie, przykładowo:

    • doc1.doc.exe,
    • euro.gif.scr,
    • table.xls.pif.

  4. Robak wysyła swoją kopię pod nazwą "setup.exe".

Zainfekowane wiadomości mogą wykorzystywać lukę w zabezpieczeniach przeglądarki MS Internet Explorer zwaną IFRAME, pozwalającą na automatyczne uruchomienie załącznika wiadomości e-mail podczas jej przeglądania.

Infekowanie plików wykonywalnych

Robak zapisuje swój kod w końcowej części infekowanego pliku. Kopia szkodnika jest niejako łączona z atakowanym plikiem - robak dodaje do niego własne sekcje, modyfikuje nagłówek PE, a także dokonuje zmian w sekcjach "Import" oraz "Fixup".

Ponadto szkodnik korzysta z procedury polimorficznej w celu zaszyfrowania swojego kodu.

Robak atakuje następujące pliki .EXE zapisane w folderze "Program Files":

  • winzip\winzip32.exe,
  • kazaa\kazaa.exe,
  • ICQ\Icq.exe,
  • DAP\DAP.exe,
  • Winamp\winamp.exe,
  • AIM95\aim.exe,
  • Lavasoft\Ad-aware 6\Ad-aware.exe,
  • Trillian\Trillian.exe,
  • Zone Labs\ZoneAlarm\ZoneAlarm.exe,
  • StreamCast\Morpheus\Morpheus.exe,
  • QuickTime\QuickTimePlayer.exe,
  • WS_FTP\WS_FTP95.exe,
  • MSN Messenger\msnmsgr.exe,
  • ACDSee32\ACDSee32.exe,
  • Adobe\Acrobat 4.0\Reader\AcroRd32.exe,
  • CuteFTP\cutftp32.exe,
  • Far\Far.exe,
  • Outlook Express\msimn.exe,
  • Real\RealPlayer\realplay.exe,
  • Windows Media Player\mplayer2.exe,
  • WinRAR\WinRAR.exe,
  • adobe\acrobat 5.0\reader\acrord32.exe,
  • Internet Explorer\iexplore.exe,

oraz w folderze Windows:

  • winhelp.exe,
  • notepad.exe,
  • hh.exe,
  • mplayer.exe,
  • regedit.exe,
  • scandskw.exe.

Infekowanie sieci lokalnej

Robak skanuje dostępne zasoby sieciowe i kopiuje się do znalezionych folderów startowych z losową nazwą posiadającą rozszerzenie .EXE lub jako "setup.exe". Następnie szkodnik infekuje pliki .EXE (patrz powyższa lista) zapisane na dysku sieciowym.

Backdoor

Robak inicjuje połączenie na porcie 1080 i czeka na polecenia hakera. Backdoor umożliwia zdalnemu użytkownikowi wykonywanie następujących operacji na zainfekowanym komputerze:

  • tworzenie raportu zawierającego informacje o dyskach oraz zapisanych na nich plikach,
  • kopiowanie oraz usuwanie dowolnych plików,
  • tworzenie raportu zawierającego informacje o aktywnych aplikacjach,
  • zamykanie dowolnej aplikacji,
  • uruchamianie lokalnych plików,
  • uruchamianie plików przesłanych przez hakera,
  • przechwytywanie znaków wpisywanych z klawiatury i przesyłanie ich do hakera,
  • uruchamianie serwera HTTP dającego dostęp do lokalnych oraz sieciowych zasobów.

Informacje dodatkowe

Robak zamyka aktywne procesy programów antywirusowych oraz zapór ogniowych, posiadających następujące nazwy:

  • ZONEALARM.EXE,
  • WFINDV32.EXE,
  • WEBSCANX.EXE,
  • VSSTAT.EXE,
  • VSHWIN32.EXE,
  • VSECOMR.EXE,
  • VSCAN40.EXE,
  • VETTRAY.EXE,
  • VET95.EXE,
  • TDS2-NT.EXE,
  • TDS2-98.EXE,
  • TCA.EXE,
  • TBSCAN.EXE,
  • SWEEP95.EXE,
  • SPHINX.EXE,
  • SMC.EXE,
  • SERV95.EXE,
  • SCRSCAN.EXE,
  • SCANPM.EXE,
  • SCAN95.EXE,
  • SCAN32.EXE,
  • SAFEWEB.EXE,
  • RESCUE.EXE,
  • RAV7WIN.EXE,
  • RAV7.EXE,
  • PERSFW.EXE,
  • PCFWALLICON.EXE,
  • PCCWIN98.EXE ,
  • PAVW.EXE,
  • PAVSCHED.EXE,
  • PAVCL.EXE,
  • PADMIN.EXE,
  • OUTPOST.EXE,
  • NVC95.EXE,
  • NUPGRADE.EXE,
  • NORMIST.EXE,
  • NMAIN.EXE,
  • NISUM.EXE,
  • NAVWNT.EXE,
  • NAVW32.EXE,
  • NAVNT.EXE,
  • NAVLU32.EXE,
  • NAVAPW32.EXE,
  • N32SCANW.EXE,
  • MPFTRAY.EXE,
  • MOOLIVE.EXE,
  • LUALL.EXE,
  • LOOKOUT.EXE,
  • JEDI.EXE,
  • IOMON98.EXE,
  • IFACE.EXE,
  • ICSUPPNT.EXE,
  • ICSUPP95.EXE,
  • ICMON.EXE,
  • ICLOADNT.EXE,
  • ICLOAD95.EXE,
  • IBMAVSP.EXE,
  • IBMASN.EXE,
  • IAMSERV.EXE,
  • IAMAPP.EXE,
  • FRW.EXE,
  • FPROT.EXE,
  • FP-WIN.EXE,
  • FINDVIRU.EXE,
  • F-STOPW.EXE,
  • F-PROT95.EXE,
  • F-PROT.EXE,
  • F-AGNT95.EXE,
  • ESPWATCH.EXE,
  • ESAFE.EXE,
  • ECENGINE.EXE,
  • DVP95_0.EXE,
  • DVP95.EXE,
  • CLEANER3.EXE,
  • CLEANER.EXE,
  • CLAW95CF.EXE,
  • CLAW95.EXE,
  • CFINET32.EXE,
  • CFINET.EXE,
  • CFIAUDIT.EXE,
  • CFIADMIN.EXE,
  • BLACKICE.EXE,
  • BLACKD.EXE,
  • AVWUPD32.EXE,
  • AVWIN95.EXE,
  • AVSCHED32.EXE,
  • AVPUPD.EXE,
  • AVPTC32.EXE,
  • AVPM.EXE,
  • AVPDOS32.EXE,
  • AVPCC.EXE,
  • AVP32.EXE,
  • AVP.EXE ,
  • AVNT.EXE,
  • AVKSERV.EXE,
  • AVGCTRL.EXE,
  • AVE32.EXE,
  • AVCONSOL.EXE,
  • AUTODOWN.EXE,
  • APVXDWIN.EXE,
  • ANTI-TROJAN.EXE,
  • ACKWIN32.EXE,
  • _AVPM.EXE,
  • _AVPCC.EXE,
  • _AVP32.EXE,
  • LOCKDOWN2000.EXE.

Ponadto robak wyszukuje hasła zapisane w zainfekowanym systemie i wysyła je do swojego twórcy.



 2003-06-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych