26 listopada 2001

I-Worm.BadtransII - kradnie informacje o zainfekowanych systemach

Jest to robak internetowy rozprzestrzeniający się w systemach Win32. Szkodnik wysyła wiadomości e-mail posiadające zainfekowany załącznik, jak również instaluje szpiegującego konia trojańskiego, który kradnie informacje o zaatakowanym systemie. Wirus został wykryty na wolności w listopadzie 2001 roku.

Szkodnik ma postać uruchamialnego pliku Win 32 (plik PE EXE). Dociera do komputera w formie skompresowanej, a jego rozmiar to około 29 KB (60 KB po rozpakowaniu).

Robak składa się w dwóch głównych komponentów - Robaka oraz Trojana. Robak wysyła zainfekowane wiadomości e-mail, natomiast Trojan kradnie i wysyła pod określony adres informacje o zaatakowanym systemie (informacje o użytkowniku, hasła, teksty wpisywane z klawiatury). Dodatkowo Trojan przechowuje w swoim kodzie program "leylogger" i instaluje go w systemie podczas infekowania nowej maszyny.

Infekowanie systemu

Gdy zainfekowany plik zostanie uruchomiony (po kliknięciu na nim przez użytkownika lub po aktywacji poprzez dziurę w zabezpieczeniach programu MS Internet Explorer zwaną IFRAME) kod robaka uzyskuje kontrolę. Na początku szkodnik instaluje wszystkie swoje komponenty i tworzy odpowiednie klucze w rejestrze systemowym.

Dodatkowo szkodnik umieszcza w systemie program przechwytujący znaki wpisywane z klawiatury (plik DLL o różnych nazwach). Robak może również usuwać oryginalny zainfekowany plik po zakończeniu swojej instalacji.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak korzysta z bezpośredniego połączenia z serwem SMTP. Adresy ofiar uzyskiwane są na dwa sposoby:

  1. Poprzez skanowanie plików *.HT* oraz *.ASP i pobieranie z nich adresów e-mail;
  2. Poprzez wykorzystanie funkcji MAPI, odczytanie wszystkich wiadomości zapisanych w skrzynce odbiorczej i pobranie z nich adresów e-mail.

Następnie szkodnik wysyła zainfekowane wiadomości. Ich treść posiada format HTML, dzięki czemu robak może wykorzystywać dziurę IFRAME w celu uaktywniania się na atakowanych maszynach.

Wiadomości wyglądają następująco:

Od: oryginalny nadawca, adres fałszywy lub wybrany z poniższej listy:

  • " Anna"
  • "JUDY"
  • "Rita Tulliani"
  • "Tina"
  • "Kelly Andersen"
  • " Andy"
  • "Linda"
  • "Mon S"
  • "Joanna"
  • "JESSICA BENAVIDES"
  • " Administrator"
  • " Admin"
  • "Support"
  • "Monika Prado"
  • "Mary L. Adams"
  • " Anna"
  • "JUDY"
  • "Tina" tina08@yahoo.com

Temat: pusty, "Re:" lub "Re:" poprzedzony tematem oryginalnej wiadomości pobranej przez robaka ze skrzynki odbiorczej;

Treść wiadomości: pusta;

Nazwa załącznika: posiada format "Nazwa_pliku + rozszerzenie1 + rozszerzenie2". Parametry Nazwa_pliku, rozszerzenie1 oraz rozszerzenie2 wybierane są spośród poniższych możliwości:

Nazwa_pliku:

Pics (lub PICS ), Card (lub CARD), images (lub IMAGES), Me_nude (lub ME_NUDE), README, Sorry_about_yesterday, New_Napster_Site, news_doc (lub NEWS_DOC), docs (lub DOCS), HAMSTER, Humor (lub HUMOR), YOU_are_FAT! (lub YOU_ARE_FAT!), fun (lub FUN), stuff, SEARCHURL, SETUP, S3MSONG

rozszerzenie1: : .DOC, .ZIP, .MP3
rozszerzenie2: .scr, .pif

Robak nigdy nie wysyła kilku wiadomości pod ten sam adres. W tym celu przechowuje wszystkie zainfekowane wiadomości w pliku PROTOCOL.DLL zapisanym w systemowym katalogu Windows. Przed wysyłaniem każdej wiadomości robak przegląda zawartość tego pliku.

Znaleziony na wolności

Opisywana wersja robaka została wykryta na wolności 24 listopada 2001 roku i charakteryzuje się poniższymi właściwościami:

  • instaluje się w systemowym katalogu Windows z nazwą KERNEL32.EXE i tworzy poniższy klucz w rejestrze systemowym:

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe

  • instaluje w systemie program przechwytujący znaki wpisywane na klawiaturze (plik KDLL.DLL). Program ten wysyła zdobyte informacje pod adres uckyjw@hotmail.com. Ponadto szkodnik przechowuje skradzione dane w pliku CP_25389.NLS zapisanym w systemowym katalogu Windows.