21 listopada 2001

Win32.Aliz - powrót niegroźnego wirusa

Jest to robak internetowy wykryty w maju 2001 roku. Rozprzestrzenia się jako plik załączony do wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 4 KB i został napisany w języku programowania Assembler. Główny kod robaka jest skompresowany przy użyciu wbudowanego algorytmu aPLib.

Wiadomości wysyłane przez robaka wyglądają następująco:

Temat: różny (patrz poniżej)
Treść: brak
Załączony plik: whatever.exe

Temat wiadomości jest losowo wybierany spośród poniższych możliwości i ma postać tekst1 + tekst2 + ... + tekst 5:

tekst1:

Fw:, Fw: Re:

tekst2:

Cool, Nice, Hot, some, Funny, weird, funky, great, interesting, many

tekst3:

website, site, pics, urls, pictures, stuff, mp3s, shit, music, info

tekst4:

to check, for you, i found, to see, here, - check it

tekst5:

!!, !, :-), ?!, hehe ;-)

Przykładowo: Cool mp3s to see !, Fw: Re: Cool stuff here!

Aby uruchomić się z zainfekowanej wiadomości robak wykorzystuje dziurę w zabezpieczeniach zwaną IFRAME. W rezultacie robak uruchamia się podczas czytania wiadomości - nie jest wymagane kliknięcie na zainfekowanym załączniku.

Łatę usuwającą dziurę w zabezpieczeniach można pobrać pod adresem:

http://www.microsoft.com/windows/ie/downloads/critical/
q290108/default.asp

Po uruchomieniu zainfekowanego pliku kontrolę przejmuje procedura rozpakowująca, która ładuje do pamięci główny kod robaka i uruchamia go. Uruchomiony kod wysyła zainfekowane wiadomości e-mail pod adresy znalezione w pliku WAB (książka adresowa systemu Windows). W celu wysyłania zainfekowanych wiadomości robak łączy się z domyślnym serwerem SMTP.

Robak nie instaluje się w systemie i nie uruchamia się ponownie (wirus może się uruchomić po raz drugi jeżeli użytkownik kliknie na zainfekowanym załączniku).

Robak nie posiada żadnych procedur dodatkowych i w żaden sposób nie ujawnia swojej obecności.

Robak posiada błędy w procedurze rozprzestrzeniającej i w niektórych konfiguracjach serwerów pocztowych nie może się rozprzestrzeniać

W kodzie robaka zapisany jest tekst:

:::iworm.alizee.by.mar00n!ikx2oo1::: while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims '[companyname] stopped high risk worm before it could escape!' or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure win32asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte... btw,burgemeester van sneek: ik zoek nog een baantje... (alignmentfillingtext)