11 maja 2001

I-Worm.Puron - robak o trzech wcieleniach

Jest to robak rozprzestrzeniający się za pośrednictwem pocztyelektronicznej. Atakuje pliki Windows EXE. I-Worm.Puron obarczony jest błędami i w niektórych przypadkach zawiesza komputer lub niszczy zarażane pliki.

Kod bakcyla zawiera podpis jego autora:

(c)Vecna
Vecna is a punk rocker now...

Uruchamianie zainfekowanych plików

Robak może dostać się do komputera z sieci lokalnej lub poprzez uruchomienie zainfekowanego pliku.

Gdy robak zostanie uruchomiony, wybiera z pliku - nosiciela swój "czysty" kod (zasadnicza część robaka to plik Win32 PE EXE o rozmiarze 9.5 Kb), zapisuje go w katalogu TEMP systemu Windows z losowo wybraną nazwą (na przykład LNBAMKON.EXE, MMCAAHAN.EXE) i uruchamia ten plik (oryginał pliku).

Gdy czysty kod wirusa przejmie kontrolę , kopiuje swój plik (pierwsza kopia) do katalogu Windows i tworzy w nim odpowiadający mu klucz rejestru:

HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders
Common Startup = %startup%

Gdzie %startup% to nazwa w/w katalogu, zależnie od wersji Windows, na przykład:

\Documents and Settings\All Users\Start Menu\Programs\Startup
%WindowsDir%\All Users\Start Menu\Programs\Startup

Robak kopiuje swój kod (druga kopia) do katalogu %startup% z losowo stworzoną nazwą złożoną z 9 losowo wybranych cyfr i z rozszerzeniem .EXE, na przykład:

    00544102.EXE
    17060133.EXE
    37154273.EXE

Następnie robak uruchamia tą kopię w katalogu startowym i usuwa pierwszą wersję z katalogu TEMP, na przykład:

C:\VIRUS.EXE - uruchomiony zarażony plik
C:\WINDOWS\TEMP\MMCAAHAN.EXE - pierwsza kopia utworzona i uruchomiona
C:\WINDOWS\All Users\Start Menu\Programs\Startup\00544102.EXE
- druga kopia , która po stworzeniu i uruchomieniu usuwa pierwszą kopię.

Z powodu błędów zdarza się, że powyższy proces ulega przerwaniu i pierwsza kopia pozostaje w katalogu TEMP.

Gdy proces "wędrówki" plików jest zakończony , robak instaluje mechanizm ukrywania i rozpoczyna ataki na inne systemy, wysyłając wiadomości e-mail.

Zarażanie

Mechanizm infekowania polega na wyszukiwaniu wykonywalnych plików Windows .EXE i .SCR na lokalnych oraz sieciowych dyskach i infekowaniu ich. Podczas infekowania robak pobiera blok kodu ze środka zarażanego pliku, kompresuje ten fragment, dołącza do niego swój kod i wstawia na powrót do ciała ofiary. W ten sposób wielkość infekowanego pliku przed i po zarażeniu nie wzrasta.

Robak wykorzystuje mechanizm mutacji polimorficznych, co sprawia, że jest on trudniejszy do wykrycia i wyleczenia.

Rozprzestrzenianie za pomocą e-mail

Aby się rozprzestrzeniać robak łączy się z serwerem poczty SMTP i wysyła zarażone wiadomości wykorzystując adresy z książki adresowej Windows.

Zarażona wiadomość ma format HTML i zawiera w polach:

    Od: "Mondo bizarro"
    Temat: Joey is dead, man... :-(
    Treść: A tribute to Joey Ramone (1951-2001)
    Załącznik: ramones.mp3.exe

Robak wykorzystuje jedną z luk w zabezpieczeniach (id: CAN-2001-0154) systemu MS Windows, odnalezioną w roku 2001. W rezultacie możliwe jest uruchamianie załącznika .EXE bez wiedzy użytkownika. Gdy zarażona wiadomość e-mail jest otwierana do czytania lub przeglądania, robak automatycznie uruchamia plik EXE.

Microsoft stworzył uaktualnienie zabezpieczeń, które pozwala na zlikwidowanie tej luki. Dodatkowe informacje możesz znaleźć na stronie:

http://www.microsoft.com/
technet/security/bulletin/MS01-020.asp

Ukrywanie

Robak przejmuje wywołania systemu Windows: FindFile i FindProcess (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Wykorzystuje je w celu ukrycia swoich plików, tak by nie były one widoczne na liście procesów.