Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Swen - udaje łatę firmy Microsoft

Jest to bardzo niebezpieczny robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail, a także przy użyciu systemu wymiany plików KaZaA, kanałów IRC oraz współdzielonych zasobów sieciowych. Szkodnik powstał przy użyciu środowiska programistycznego Microsoft Visual C++, a jego rozmiar to 107 KB.

Swen aktywuje się gdy użytkownik uruchomi zainfekowany plik lub gdy w komputerze nie zainstalowano łaty usuwającej lukę IFrame.FileDownload (wykorzystywały ją także robaki Klez oraz Tanatos).

Łatę usuwającą lukę IFrame.FileDownload można pobrać tutaj.

Swen blokuje wiele programów antywirusowych oraz zapór ogniowych. Wiele zawartych w nim procedur wygląda identycznie jak w robaku I-Worm.Gibe, jednak autor użył innego języka programowania.

Instalacja

Po uruchomieniu robak udaje program instalacyjny łaty firmy Microsoft:

Następnie robak kopiuje się do folderu Windows z jedną z poniższych nazw. Nazwa pliku szkodnika może składać się z kilku elementów.

Pierwsza możliwość:

  1. Kazaa Lite;
    KaZaA media desktop;
    KaZaA;
    WinRar;
    WinZip;
    Winamp;
    Mirc;
    Download Accelerator;
    GetRight FTP;
    WindowsMediaPlayer.
  2. Key generator;
    Hack;
    Hacked;
    Warez;
    Upload;
    Installer.
  3. Upload;
    Installer.

Druga możliwość:

  1. Bugbear;
    Yaha;
    Gibe;
    Sircam;
    Sobig;
    Klez.
  2. Remover;
    RemovalTool;
    Cleaner;
    Fixtool.

Trzecia możliwość:

Aol Hacker;
Yahoo Hacker;
Hotmail Hacker;
10.000 Serials;
Jenna Jameson;
Hardporn;
Sex;
Xbox Emulator;
Emulator Ps2;
Xp Update;
Xxx Video;
Sick Joke;
Xxx Pictures;
My Naked Sister;
Hallucinogenic Screensaver;
Cooking With Cannabis;
Magic Mushrooms Growing;
Virus Generator.

Dla nowych plików tworzony jest klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sekwencja_losowa=%folder_windows%\nazwa pliku autorun.

Ponadto tworzony jest identyfikator:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
sekwencja_losowa.

Szkodnik modyfikuje klucz HKLM\Software\Classes i w rezultacie jest uruchamiany wraz z aktywacją plików następujących typów: BAT, COM, EXE, PIF, REG, SCR:

  • HKCR\batfile\shell\open\command
    Default = %windir%\ "%1" %*;
  • HKCR\comfile\shell\open\command
    Default = %windir%\ "%1" %*
  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    Default = %windir%\ "%1" %*;
  • HKCR\piffile\shell\open\command
    Default = %windir%\ "%1" %*;
  • HKCR\regfile\shell\open\command
    Default = %windir%\ showerror;
  • HKCR\scrfile\shell\config\command
    Default = %windir%\ "%1";
  • HKCR\scrfile\shell\open\command
    Default = %windir%\ "%1" /S.

Ponadto szkodnik uniemożliwia uruchomienie Edytora rejestru modyfikując następujący klucz:

HKCU\.DEFAULT\Software\Microsoft\Windows\
CurrentVersion\Policies\System
DisableRegistryTools = 01 00 00 00
.

Próba uruchomienia szkodnika na już zainfekowanym komputerze powoduje wyświetlenie poniższego komunikatu:

Robak skanuje wszystkie dyski w poszukiwaniu plików posiadających rozszerzenia DBX, MDX, EML, WAB, *HT* oraz *ASP*, pobiera z nich wszystkie adresy e-mail i zapisuje je w pliku germs0.dbv.

Swen podejmuje próbę umieszczenia własnej kopii na jednym z 350 serwerów, których adresy zapisane są w pliku swen1.dat. Jeżeli nawiązanie połączenia nie jest możliwe szkodnik wyświetla na ekranie komunikat o błędzie w MAPI 32

i prosi o podanie poprawnego adresu e-mail oraz serwera SMTP.

Rozprzestrzenianie - poczta elektroniczna

Robak rozsyła własne kopie pod wszystkie dostępne adresy przy użyciu bezpośredniego połączenia z serwerem SMTP. Zainfekowane wiadomości mają format HTML.

Nazwa nadawcy (składa się z kilku elementów):

  1. Microsoft;
    MS.

  2. Corporation.

  3. Program;
    Internet;
    Network.

  4. Security.

  5. Division;
    Section;
    Department;
    Center.

  6. Public;
    Technical;
    Customer.

  7. Bulletin;
    Services;
    Assistance;
    Support.

Przykładowo:

  • Microsoft Internet Security Section;
  • MS Technical Assistance.

Adres nadawcy (składa się z kilku elementów):

  • przed symbolem "@": sekwencja losowa (przykładowo: tuevprkpevcg-gxwi@, dwffa@);
  • po symbolu "@": dwa elementy (w niektórych przypadkach wykorzystywany jest tylko jeden):

    1. news;
      bulletin;
      confidence;
      advisor;
      updates;
      technet;
      support.

    2. msdn;
      microsoft;
      ms;
      msn.

    Przykładowo: newsletter.microsoft lub support. Jeżeli wykorzystywane są obydwa elementy szkodnik oddziela je symbolem "." lub "_". Po symbolu "." wstawiana jest nazwa domeny - com lub net.

Temat (składa się z kilku elementów):

  1. Latest;
    New;
    Last;
    Newest;
    Current.

  2. Net;
    Network;
    Microsoft;
    Internet.

  3. Security;
    Critical.

  4. Upgrade;
    Pack;
    Update;
    Patch.

Treść:

MS Client (Consumer,Partner,User - chosen at random)
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later


Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on 
displayed dialog box. How to use: You don't need to 
do anything after installing this item.

Podpis:

Microsoft Product Support Services and Knowledge 
Base articles = can be found on the Microsoft Technical 
Support web site.
http://support.microsoft.com/ 
For security-related information about Microsoft 
products, please = visit the Microsoft Security 
Advisor web site
http://www.microsoft.com/security/ 

Thank you for using Microsoft products. 

Please do not reply to this message.
It was sent from an unmonitored e-mail address 
and we are unable = to respond to any replies. 

----------------------------------------------
The names of the actual companies and products 
mentioned = herein are the trademarks of their 
respective owners.

Nazwa załącznika:

patch[losowy numer].exe;
install[losowa data].exe;
q[losowy numer].exe;
update[losowy numer].exe.

W zależności od kilku czynników treść wiadomości może się różnić.

Temat może zawierać następujące teksty:

Letter;
Advise;
Message;
Announcement;
Report;
Notice;
Bug;
Error;
Abort;
Failed;
User Unknown.

Treść może zawierać następujące teksty:

Hi!
This is the qmail program;
Message from [?OIÉÚ×IIOÎIA ÚÎÁ?AÎÉA];
I'm sorry;
I'm sorry to have to inform that;
I'm afraid;
I'm afraid I wasn't able to deliver your message to the following addresses;
the message returned below could not be delivered;
I wasn't able to deliver your message;
to one or more destinations.

W niektórych przypadkach robak wysyła własne kopie w posiaci archowów ZIP lub RAR.

Rozprzestrzenianie - system wymiany plików KaZaA

Swen kopiuje się z losowymi nazwami do folderu współdzielonego systemu KaZaA Lite. Ponadto szkodnik tworzy katalog o losowej nazwie w folderze Windows/Temp i zapisuje w nim kilka własnych kopii.

Utworzony folder rejestrowany jest jako zasób współdzielony systemu KaZaA:

HKCU\Software\Kazaa\LocalContent
dir99 = 012345:%folder_windows%\%temp%\nazwa_folderu
.

W rezultacie nowe pliki tworzone przez robaka są dostępne dla wszystkich użytkowników systemu KaZaA.

Rozprzestrzenianie - kanały IRC

Robak skanuje komputer w poszukiwaniu klienta mIRC i dodaje własne procedury rozprzestrzeniające do istniejącego pliku script.ini. W rezultacie mIRC wysyła kopię szkodnika zapisana w folderze Windows do wszystkich użytkowników przyłączających się do zainfekowanego kanału IRC.

Rozprzestrzenianie - sieć lokalna

Robak skanuje wszystkie dostępne dyski. W przypadku znalezienia dysku sieciowego szkodnik umieszcza na nim swoją kopię (z losową nazwą) w następujących folderach:

windows\all users\start menu\programs\startup;
windows\start menu\programs\startup;
winme\all users\start menu\programs\startup;
winme\start menu\programs\startup;
win95\all users\start menu\programs\startup;
win95\start menu\programs\startup;
win98\all users\start menu\programs\startup;
win98\start menu\programs\startup;
document and settings\all users\start menu\programs\startup;
document and settings\default user\start menu\programs\startup;
document and settings\administrator\start menu\programs\startup;
winnt\profiles\all users\start menu\programs\startup;
winnt\profiles\default user\start menu\programs\startup;
winnt\profiles\administrator\start menu\programs\startup.

Informacje dodatkowe

Robak podejmuje próby blokowania funkcji RAM, jak również zamykania procesów programów antywirusowych oraz zapór ogniowych:

_avp, ackwin32, anti-trojan, aplica32, apvxdwin, autodown, avconsol, ave32, avgcc32, avgctrl, avgw, avkserv, avnt, avp, avsched32, avwin95, avwupd32, blackd, blackice, bootwarn, ccapp, ccshtdwn, cfiadmin, cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe, espwatch, f-agnt95, findviru, fprot, f-prot, fprot95, f-prot95, fp-win, frw, f-stopw, gibe, iamapp, iamserv, ibmasn, ibmavsp, icload95, icloadnt, icmon, icmoon, icssuppnt, icsupp, iface, iomon98, jedi, kpfw32, lockdown2000, lookout, luall, moolive, mpftray, msconfig, nai_vs_stat, navapw32, navlu32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade, nvc95, outpost, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98, pcfwallicon, persfw, pop3trap, pview, rav, regedit, rescue, safeweb, serv95, sphinx, sweep, tca, tds2, vcleaner, vcontrol, vet32, vet95, vet98, vettray, vscan,vsecomr ,vshwin32, vsstat, webtrap, wfindv32, zapro, zonealarm.

Uruchomienie jednego z powyższych programów powoduje wyświetlenie następującego komunikatu:



 2003-09-19  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych