25 lutego 2003

I-Worm.Supnot (aka Lovgate) - uruchamia backdoora

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail, a także w sieci lokalnej. Ma postać pliku PE EXE i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++. Szkodnik wyposażony jest w procedurę backdoor.

Rozmiar pliku robaka jest zależny od wersji:

  • Supnot.a - około 85 KB,
  • Supnot.b - około 77 KB,
  • Supnot.c - około 79 KB.

Szkodnik aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja

Podczas instalacji robak kopiuje się z kilkoma nazwami do folderu systemowego Windows i tworzy klucz auto-run w rejestrze systemowym (w przypadku systemu Windows NT/2000/XP) lub modyfikuje plik WIN.INI (w systemach Windows 9x/ME).

Kopie robaka posiadają następujące nazwy:

rpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, WinRpcsrv.exe

Robak modyfikuje następujące klucze rejestru systemowego:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = rpcsrv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = %SystemDir%\syshelp.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = %SystemDir%\WinGate.exe -remoteshell
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg

HKCR\txtfile\shell\open\command
winrpc.exe %1

Rozprzestrzenianie - poczta elektroniczna

Robak wykorzystuje dwie metody tworzenia zainfekowanych wiadomości e-mail:

Metoda 1

Robak pobiera adresy e-mail z plików posiadających rozszerzenie HTM oraz HTML i wysyła pod nie zainfekowane wiadomości wykorzystując bezpośrednie połączenie z serwerem SMTP (lub z serwerem "smtp.163.com").

Zainfekowane wiadomości mogą wyglądać następująco (temat, treść, załącznik):

  • Cracks!
  • Check our list and mail your requests!
  • CrkList.exe

  • The patch
  • I think all will work fine.
  • Patch.exe

  • Last Update
  • This is the last cumulative update.
  • LUPdate.exe

  • Do not release
  • This is the pack ;)
  • Pack.exe

  • Beta
  • Send reply if you want to be official beta tester.
  • _SetupB.exe

  • Help
  • I'm going crazy... please try to find the bug!
  • Source.exe

  • Evaluation copy
  • Test it 30 days for free.
  • Setup.exe

  • Pr0n!
  • Adult content!!! Use with parental advisory.
  • Sex.exe

  • Roms
  • Test this ROM! IT ROCKS!.
  • Roms.exe

  • Documents
  • Send me your comments...
  • Docs.exe

Metoda 2

Korzystając z funkcji MAPI systemu Windows robak "odpowiada" na wszystkie wiadomości zapisane w skrzynce odbiorczej. Odpowiedzi te wyglądają następująco:

Temat: Re: [temat oryginalnej wiadomości]

Treść:

[nazwa użytkownika] wrote:

====
> [treść oryginalnej wiadomości]
====
[nazwa domeny] account auto-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

> Get your FREE [nazwa domeny] account now! <

przykładowo:

'Pedro Gomez' wrote:

====
> Hi!
====

aaa.com account auto-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

> Get your FREE aaa.com account now! <

Nazwa załącznika jest wybierana losowo spośród następujących możliwości:

pics.exe          SETUP.EXE     
images.exe        Card.EXE      
joke.exe          billgt.exe    
PsPGame.exe       midsong.exe   
news_doc.exe      s3msong.exe   
hamster.exe       docs.exe      
tamagotxi.exe     humor.exe     
searchURL.exe     fun.exe       

Infekowanie sieci lokalnej

Robak identyfikuje zasoby sieciowe udostępnione w trybie pozwalającym na zapis i umieszcza na nich swoje kopie. Nazwy tych plików wybierane są losowo spośród następujących możliwości:

pics.exe             SETUP.EXE
images.exe           Card.EXE
joke.exe             billgt.exe
PsPGame.exe          midsong.exe
news_doc.exe         s3msong.exe
hamster.exe          docs.exe
tamagotxi.exe        humor.exe
searchURL.exe        fun.exe

Jeżeli atakowany zasób sieciowy jest zabezpieczony hasłem robak podejmuje próbę wymuszenia dostępu przy użyciu następujących kombinacji:

Identyfikator: "guest", "Administrator"

Hasło: "123", "321", "123456", "654321", "administrator", "admin", "111111", "666666", "888888", "abc", "abcdef", "abcdefg", "12345678", "abc123"

Jeżeli logowanie zakończy się pomyślnie robak tworzy swoją kopię o nazwie "stg.exe" i próbuje uruchomić ją na zdalnym komputerze.

Procedura backdoor

Robak wyposażony jest w procedurę backdoor wykorzystującą technologię IPC (ang. Interprocess Communication). Tworzy ona kanał podłączony do interpretera poleceń wykorzystywanego w atakowanym systemie (CMD.EXE w przypadku systemu Windows NT/2000/XP lub COMMAND.COM dla Windows 9x/ME. Dzięki temu twórca robaka może przejąć kontrolę nad zainfekowanym komputerem.

Backdoor może być uruchomiony w jednym z następujących trybów:

  • jako wątek procesu robaka,
  • jako element procesu "LSASS.EXE" (w systemach Windows NT),
  • jako samodzielne pliki "ily.dll", "Task.dll" oraz "reg.dll" przechowywane przez robaka w folderze systemowym Windows.

Informacje dodatkowe

Podczas wysyłania wiadomości e-mail robak tworzy w folderze tymczasowym Windows plik o nazwie "CH0016.TMP". Ponadto wysyła on do swojego twórcy wiadomość, w której znajdują się informacje dotyczące zainfekowanego komputera (nazwa, adres IP, nazwa użytkownika).

W kodzie robaka można znaleźć sygnaturę pozostawioną przez autora:

My I-WORM-and-IPC-20168 running!