27 marca 2002

I-Worm.Gibe - udaje wiadomość Microsoft'u

Jest to wieloelementowy robak rozprzestrzeniający się poprzez Internet jako zainfekowany plik załączony do wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 123 KB i został utworzony przy pomocy języka programowania Visual Basic.

Zainfekowane wiadomości wyglądają następującos:

  • Od: "Microsoft Corporation Security Center" rdquest12@microsoft.com
  • Do: "Microsoft Customer" <'customer@yourdomain.com'>
  • Temat: Internet Security Update
  • Odpowiedz do: rdquest12@microsoft.com
  • Załączony plik: q216309.exe

Treść wiadomości udaje list informacyjny wysłany przez firmę Microsoft i zawiera datę zapisaną w formacie DD MM RRRR:

Microsoft Customer,

this is the latest version of security update, the "%Data% Cumulative Patch" update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities:

- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.

- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your local file system, and to pass information from your computer to the Web site.

- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.

System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don't need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings,
MS Internet Security Center.

Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja - komunikaty

Po uruchomieniu zainfekowanego pliku robak sprawdza czy system nie został już wcześniej zarażony. Jeżeli tak się stało wyświetlana jest wiadomość i wirus kończy swoje działanie:

Microsoft Internet Tools Update
This update does not need to be installed on this system.

Robak rozpoznaje zainfekowane systemy poprzez obecność klucza rejestru systemowego:

HKLM\Software\AVTech\Settings
Installed = ... by Begbie

Jeżeli system nie został jeszcze zainfekowany robak wyświetla komunikat:

Microsoft Internet Tools Update
This will install Microsoft Security Update.
Do you wish to continue ?
[ Tak ] [ Nie ]

Niezależnie od odpowiedzi użytkownika robak rozpoczyna proces instalacji. Jeżeli użytkownik kliknie na przycisku [ Nie ] instalacja przebiega w tle, natomiast w przypadku wciśnięciu przycisku [ Tak ] robak wyświetla fałszywe komunikaty instalacyjne:

Installing Microsoft Update
Unpacking files ...
[ Anuluj ]

Microsoft Internet Tools Update
This update has been successfully installed.
[ OK ]

Jeżeli użytkownik wciśnie przycisk [ Anuluj ] robak wyświetli dodatkowe komunikaty (instalacja nie zostanie przerwana):

Microsoft Internet Tools Update
Install is not complete. Do you wish to abort instalation process?
[ Tak ] [ Nie ]

Microsoft Internet Tools Update
Instalation was aborted.
[ OK ]

Instalacja - komponenty

Podczas instalowania się w systemie robak tworzy swoje kopie w katalogu Windows oraz systemowym Windows:

  • q216309.exe oraz vtnmsccd.dll (katalog Windows)
  • vtnmsccd.dll (katalog systemowy Windows)

Dodatkowo robak zapisuje w katalogu Windows trzy komponenty i uruchamia je:

  • BcTool.exe
  • WinNetw.exe
  • GfxAcc.exe

Dla dwóch komponentów tworzone są klucze auto run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadDBackUp = %WindowsDir%\BcTool.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
3Dfx Acc = %WindowsDir%\GfxAcc.exe

Komponenty te odpowiedzialne są za wyszukiwanie adresów e-mail i wysyłanie zainfekowanych wiadomości.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje program MS Outlook. Kontakty "ofiar" pobierane są z książki adresowej oraz z plików *.htm, *.html, *.asp, *.php.

Ponadto w celu zgromadzenia adresów e-mail robak wykorzystuje wyszukiwarki internetowe http://email.people.yahoo.com oraz http://www.switchboard.com.