Лаборатория Касперского

Интернет-червь "Курникова" преследует поклонников знаменитой теннисистки
Кроме тех, кто использует Антивирус Касперского

"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает об обнаружении в "диком виде" новой модификации Интернет-червя "Lee", более известной как "Курникова". Червь уже успел поразить ряд компьютерных систем в США и Восточной Азии. Вместе с тем, он не представляет никакой опасности для пользователей Антивируса Касперского: благодаря интегрированной в программу уникальной технологии эвристического анализа программного кода, эта вредоносная программа обнаруживается без каких-либо дополнительных обновлений антивирусной базы.

Методы распространения и работы данного червя практически идентичны печально известному "ILOVEYOU", вызвавшему глобальную эпидемию в мае прошлого года. "Курникова" создан при помощи генератора вирусов "[K]Alamar's Vbs Worms Creator", позволяющему даже начинающим пользователям выпускать свои собственные вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространяется по сети Интернет при помощи сообщений электронной почты, содержащих вложенный файл "AnnaKournikova.jpg.vbs".

lee.bmp

После запуска файла червь регистрирует себя в системном реестре Windows, получает доступ к адресной книге почтовой программы MS Outlook и незаметно для пользователя рассылает свои копии по всем найденным адресам электронной почты. Во избежание повторной рассылки червь создает дополнительный ключ в системном реестре:

HKEY_CURRENT_USER\Software\OnTheFly\mailed

Червь не содержит каких-либо опасных побочных действий. Помимо массовой рассылки зараженных файлов, перегружающей корпоративные и персональные каналы передачи данных, 26 января "Курникова" запускает Интернет-броузер и открывает голландский Web сайт:

Dynabyte.bmp

Подобно "ILOVEYOU" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Однако при запуске файла он передается на обработку процессору скрипт-программ Windows Scripting Host, который и выполняет код червя.

"Курникова" - далеко не технологическое достижение в области создания вредоносных программ. Это самый обычный скрипт-вирус, использующий хорошо известные методы проникновения на компьютеры. Единственная причина, благодаря которой он получил такое распространение - использование имени Анны Курниковой, хорошо известной не только великолепной игрой в теннис, но также и отчасти гипнотическим влиянием на мужскую половину человечества. Последнее обстоятельство и предопределило невозможность некоторых пользователей устоять перед соблазном посмотреть на фотографию любимой спортсменки", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".

Предотвращение заражения

В целях недопущения проникновения червя "Лаборатория Касперского" советует пользователям ни в коем случае не запускать файл "AnnaKournikova.jpg.vbs". Мы также рекомендуем системным администраторам настроить фильтры входящей и исходящей почтовой корреспонденции таким образом, чтобы блокировать пересылку электронных сообщений, содержащих такие файлы.

Методы удаления

Для удаления из системы данного Интернет-червя необходимо выполнить следующие шаги:

1) удалить файл "AnnaKournikova.jpg.vbs" из системного каталога Windows;
2) стереть следующие ключи системного реестра Windows:
HKEY_CURRENT_USER\Software\OnTheFly
HKEY_CURRENT_USER\Software\OnTheFly\mailed

Напомним, что данный Интернет-червь определяется "Антивирусом Касперского" по умолчанию и не требует никаких дополнений антивирусной базы.

Информационная служба "Лаборатории Касперского"


Вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Червь вызвал глобальную эпидемию в сентябре-октябре 2000 года.

Имеет достаточно необычную структуру и состоит из трех практически независимых частей, которые выполняются независимо друг от друга. Этими тремя компонентами являются: вирус, заражающий EXE-файлы Win32; червь, рассылающий электронные письма; троянец-backdoor.

Две последние компоненты хранятся в теле вируса в упакованном виде. При старте вирус распаковывает и запускает их на выполнение:

Структура вируса

г===============¬

¦ Вирусные ¦ --> инсталлирует в систему компоненты червя и backdoor,

¦ процедуры ¦ затем ищет и заражает Win32 EXE-файлы

¦ иснталляции и ¦

¦ заражения EXE ¦

¦---------------¦

¦ Код червя ¦ --> распаковывается и запускается как отдельная программа

¦ (упакован) ¦

¦---------------¦

¦ Backdoor-код ¦ --> распаковывается и запускается как отдельная программа

¦ (упаковаан) ¦

L===============-

Зараженный EXE-файл

г===============¬

¦ Код и данные ¦

¦ файла ¦

¦ ¦

¦===============¦

¦ Код вируса: ¦

¦--------------¬¦

¦¦ Инсталляция ¦¦

¦¦ и заражение ¦¦

¦+-------------+¦

¦¦ Червь ¦¦

¦+-------------+¦

¦¦ Backdoor ¦¦

¦L--------------¦

L===============-

Следует отметить, что код червя не содержит всех процедур необходимых, для заражения системы из письма электронной почты. По этой причине червь распространяется в электронных письмах, будучи сам заражен вирусом (см. ниже). Зачем потребовалась такая избыточно сложная технология - не вполне понятно.

Вирусная компонента содержит строки текста:

SABI+.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us Visit us at:
http://www.coderz.net/matrix

Червь содержит текст:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Backdoor содержит текст:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

Вирусная компонента

При заражении файлов вирус использует технологию "Entry Point Obscuring" (без точки входа), т.е. вирус записывается не в стартовый адрес заражаемой программы, а в какое-либо иное место. В данном случае вирус записывается в конец файла и исправляет подходящую инструкцию в середине файла: записывает в нее команду перехода на свой код. В результате вирус получает управление не в момент запуска зараженного файла, а тогда, когда получает управление соответствующий блок кода зараженной программы.

Код вируса в файлах зашифрован, и вирус сначала расшифровывает себя и потом передает управление на свою основную процедуру.

Перед тем, как инсталлировать остальные компоненты и заражать файлы вирус ищет в системе антивирусные программы и прекращает свою работу, если любая из них обнаружена:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Затем вирус инсталлирует компоненты червя и backdoor. Всего создается три файла, они создаются в каталоге Windows и имеют атрибут "скрытый":

IE_PACK.EXE - "чистый код" компоненты-червя
WIN32.DLL - червь (копия предыдущего файла), зараженный вирусом
MTX_.EXE - backdoor-компонента

Затем вирус ищет и заражает Win32 EXE-файлы в текущем, временном и основном каталоге Windows и завершает свою работу.

Червь

Для рассылки зараженных сообщений червь использует метод, впервые обнаруженный в Интернет-черве "Happy". Червь записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура "send"). В результате червь в зараженной библиотеке WSOCK32.DLL получает управление каждый раз, когда любые данные отправляются в Интернет.

Обычно при старте червя файл WSOCK32.DLL уже используется каким-либо приложением Windows и заблокирован на запись, что делает невозможным немедленное его заражение. Червь обходит это достаточно стандартным методом: копирует этот файл с именем WSOCK32.MTX, заражает копию и записывает в файл WININIT.INI команды замещения файла WSOCK32.DLL на зараженный WSOCK32.MTX при следующей перезагрузке Windows, например:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

После перезагрузки червь активизируется как компонента WSOCK32.DLL и проверяет данные и команды, которые отсылаются в Интернет.

Особое внимание червь уделяет Интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов. Червь детектирует эти имена по 4-символьным комбинациям:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, и т.д.)

Червь также блокирует отсылку писем на домены:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Червь также перехватывает отправляемый электронные письма и посылает сообщение-двойник со своей копией, прикрепленной к письму (так же, как это делает червь "Happy"). Имя вложенного файла выбирается из нескольких вариантов в зависимости от дня месяца:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif


Случайные файлы

Файл
113191.rtf
5534.rtf
164712.doc
60722.rtf
35527.rtf




Чтобы не видеть здесь видео-рекламу достаточно стать зарегистрированным пользователем.
Чтобы не видеть никакую рекламу на сайте, нужно стать VIP-пользователем.
Это можно сделать совершенно бесплатно. Читайте подробности тут.