Исключительно опасный троянец
Eurosol крадет информацию о личных счетах в международной финансовой системе
WebMoney. Лаборатория Касперского уже предприняла необходимые меры, чтобы предотвратить
эту финансовую аферу и закрыла все используемые Eurosol серверы.
Eurosol замаскирован под программу CC-Bank, позволяющую якобы получить деньги
за просмотр рекламных модулей. Для этого пользователь просматривает 15 баннеров,
после чего CC-Bank как будто выдает номер реальной кредитной карточки с определенной
суммой на счету, при помощи которой можно свободно совершать покупки.
Это всего лишь ширма. После запуска CC-Bank Eurosol внедряется на компьютер
и сканирует содержимое установленных жестких дисков в поиске ключевых файлов
от клиентской программы системы WebMoney Transfer (www.webmoney.ru).
WebMoney универсальная внебанковская система, позволяющая проводить мгновенные
расчеты в Интернет. С ее помощью можно совершать покупки в электронных магазинах,
создавать собственные магазины, реализующие online-продажи в Интернет, а также
производить расчеты с другими участниками системы. Кроме того, виртуальные деньги
можно свободно конвертировать в наличную валюту и обратно.
Для получения сведений о личном счете жертвы в системе WebMoney Eurosol находит
файлы Keys.kwm (секретный ключ) и Purses.kwm (виртуальный кошелек). В случае
успешного поиска файлы шифруются и отсылаются на удаленный FTP-сервер. Для обеспечения
успешной передачи информации троянец нейтрализует установленный на компьютере
персональный межсетевой экран ATGuard. Для этого Eurosol модифицирует его настройки
так, чтобы ATGuard не реагировал на установление TCP/IP-соединения с внешними
серверами.
В дальнейшем, злоумышленник может получить украденные кошельки и ключи к ним
с этого FTP-сервера и подключить их к своей копии программы WebMoney. После
этого он может перевести имеющиеся в кошельках деньги на свой банковский счет
или получить наличные почтовым переводом на свое имя.
Для обнаружения троянской программы рекомендуется полностью просканировать
содержимое жестких дисков. Описание
Eurosol .
Интернет-червь Homepage уже
вызвал массовую эпидемию по всему миру. Он использует для внедрения примитивный
метод социального инжиниринга, и не представляет опасности для тех, кто следует
правилам компьютерной гигиены. Homepage написан на скрипт-языке Visual Basic
Script (VBS) и работоспособен только в ОС с установленным обработчиком скрипт-программ
Windows Scripting Host (в Windows 98, Windows 2000 он установлен по умолчанию).
Иначе файл-носитель червя просто не сможет быть выполнен. Главной отличительной
чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения
эвристическими анализаторами.
Червь распространяется в электронных письмах. Для распространения использует
MS Outlook и рассылает себя по всем адресам из адресной книги. Рассылаемые червем
письма имеют вид:
Тема: Homepage
Текст: Hi!
Youve got to see this page! Its really cool ;O)
Вложение: homepage.html.vbs
После массовой рассылки писем Homepage, чтобы не вызвать подозрений пользователя,
действительно, как и обещано в тексте сообщения, открывает один из 4-х порнографических
Web-сайтов, адреса которых содержатся в коде червя. Чтобы избежать двойной рассылки
зараженных писем с одного и того же компьютера, червь создает в системном реестре
ключ HKCU\software\An\mailed и записывает в него значение 1. Описание
Интернет-червь I-Worm.DragonBall
представляет собой скрипт, написанный на VBS, и рассылается в письмах электронной
почты и по каналам IRC. Для этого он использует MS Outlook и IRC. Червь содержит
несколько фатальных ошибок, из-за чего он не может распространяться.
При запуске скрипта он создает свои копии в системных каталогах, а также создает
три скрипта в каталоге, где установлен IRC.
Скрипты для IRC предназначены для того, чтобы червь мог рассылать себя по каналам
IRC. Поскольку имена каталогов C:\Windows и C:\mIRC прописаны в теле червя,
он не сможет выполнить эти процедуры, если ОС и IRC установлены в другие каталоги.
Для активизации процедуры собственного распространения по электронной почте
червь открывает адресную книгу MS Outlook и для каждого встреченного адреса
создает письмо следующего содержания:
Тема: Hello;
Текст: Hi, check out this game that j sent you (funny game from the net:]).
Вложение: dragonball.vbs
Win32.HLLW.Showgame. Опасный
резидентный Win32-вирус. Не заражает файлы, а передается как есть в виде
70 КБ EXE-файла Windows. По 26-м числам ежемесячно вирус уничтожает содержимое
файлов в корне диска C:. Сами файлы остаются на месте, но имеют нулевую длину.
На русской версии Windows по субботам вирус выводит на экран белый эллипс. http://www.viruslist.com/viruslist.asp?id=4320&key=
00001000050000400092.
Интернет-червь I-Worm.Xanax
был обнаружен в середине марта 2001. При своем распространении червь использует
почтовую систему MS Outlook и рассылает себя по всем адресам, которые хранятся
в адресной книге Outlook. Червь также рассылает себя в IRC-каналы и заражает
EXE-файлы в каталоге Windows.
Червь написан на языке C++ и откомпилирован MS Visual C++. Размер около 60 KБ,
однако он был обнаружен в упакованном виде (сжат утилитой ASPack) с размером
зараженного файла около 34 KБ. Для рассылки зараженных писем создает дополнительный
VBS-файл и записывает в него скрипт-программу, которая получает доступ к MS
Outlook, открывает адресную книгу, достает оттуда по 1000 адресов из каждого
списка адресов и рассылает по ним письма с прикрепленной к ним копией червя.
Тема, содержимое письма и имя прикрепленного файла выглядят следующим образом:
Тема сообщения: Stressed? Try Xanax!
Тело сообщения:
Hi there! Are you so stressed that it makes you ill? Youre not alone! Many
people suffer from stress, these days. Maybe you find Prozac too strong? Then
you NEED to try Xanax, its milder. Still not convinced? Check out the medical
details in the attached file. Xanax might change your life!
Вложение: xanax.exe
Интернет-червь VBS.Hard распространяется
в электронных письмах, использует MS Outlook Express и рассылает себя по всем
адресам из адресной книги Windows.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только
в ОС с установленным Windows Scripting Host (WSH в Windows 98, в Windows 2000
он установлен по умолчанию).
Червь распространяется с прикрепленным VBS-файлом www.symantec.com.vbs, который,
собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема = FW: Symantec Anti-Virus Warning
Текст =
From: [warning@symantec.com]
To: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Subject: FW: Symantec Anti-Virus Warning
Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how it replicates itself.
With regards,
F. Jones
Symantec senior developer
Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией
о вирусе VBS.AmericanHistoryX_II@mm. На самом деле, такого вируса не существует.
Затем червь создает несколько файлов:
c:\www.symantec_send.vbs содержит скрипт на языке Visual Basic Script, который
отсылает через MS Outlook Express зараженные письма на все адреса в адресной
книге Windows.
c:\message.vbs содержит скрипт, который 24 ноября выводит сообщение:
Some shocking news
Dont look surprised!
It is only a warning about your stupidity
Take care!
Оба файла червь регистрирует в системном реестре в секции автозапуска. Таким
образом, они запускаются при каждом старте Windows. Кроме того, он прописывает
в реестр и поддельную страницу о вирусе как стартовую страницу для Internet
Explorer. Чтобы избежать двойной рассылки зараженных писем с одного и того же
компьютера, червь создает в системном реестре ключ HKLM\SOFTWARE\Microsoft\WAB\OE
Done и записывает в него значение Hardhead_SatanikChild.
Червь I-Worm.Challenge для
распространения использует MS Outlook Express 5. В отличие от большинства червей
этого класса, он не прикрепляет к заражаемому письму дополнительный файл-вложение,
а встраивает свое тело в письмо как скрипт.
Червь полностью работоспособен только в системах с установленным MS Outlook
Express. В MS Outlook червь также активизируется и заражает систему, но распространяться
дальше не может. Под другими почтовыми системами работоспособность червя зависит
от возможностей данной почтовой системы.
Принцип работы червя в общем аналогичен известному червю KakWorm, за исключением
того, что он не зависит от версии Windows и ее языка (KakWorm работает на английской
и французской версиях Windows 95/98).
Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту
от этой разновидности червей: каждый раз, когда открывается зараженное сообщение,
вирус снова заражает систему. Кроме того, если включен предварительный просмотр
сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений
и вирус опять активизируется. http://www.viruslist.com/viruslist.asp?id=4294&key=
00001000140000100063.
Сетевой червь VBS.Mcon.b распространяется,
создавая свои копии на локальных и сетевых дисках, а также сканируя сети на
предмет доступных IP-адресов. Будучи запущенным (пользователем, либо автоматически
из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог
Fonts). Затем он прописывает скопированный файл в системном реестре таким образом,
чтобы этот файл автоматически запускался при каждом старте Windows. Если червь
был запущен из каталога, отличного от Fonts и Startup, он завершает работу имитируя
системную ошибку сообщением:
ERROR
FILE I/O ERROR
Если же червь был запущен из каталога Fonts (при старте Windows), он запускает
процедуру распространения.
Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге
создает копию файла червя. Имя файла выбирается следующим образом: из списка
последних используемых пользователем файлов (Recent files) случайным образом
выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь
затем расширение .vbs.
Таким образом, настоящее расширение файла .vbs спрятано пробелами и не отображается
в проводнике. http://www.viruslist.com/viruslist.asp?id=
4293&key=00001000120000 200005.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Исключительно опасный троянец
Eurosol крадет информацию о личных счетах в международной финансовой системе
WebMoney. Лаборатория Касперского уже предприняла необходимые меры, чтобы предотвратить
эту финансовую аферу и закрыла все используемые Eurosol серверы.