ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Вирус-шпион в Интернет!

Как следствие, пользователь может понести серьезные финансовые потери. И как оказалось, вирусу даже не обязательно как-то явно вредить непосредственно на компьютере пользователя. Вполне достаточно выполнить функцию шпиона и сообщить разведданные злоумышленнику.

Win32.Parvo.13857
Неопасный нерезидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для MS Windows 95/98/NT). При заражении файлов вирус Win32.Parvo.13857 не изменяет стартовый адрес программы, а внедряет в точку входа до 256 байтов полиморфного кода, одна из инструкций которого передает управление основному вирусному коду, записывающемуся в последнюю сегментную секцию инфицированной программы. Для этого вирус изменяет характеристики данной секции и записывает в нее свою полиморфную копию.

Полиморфный декриптор получает управление, расшифровывает тело вируса и предоставляет ему право распоряжаться дальнейшей своей судьбой.

Вирус сканирует системную память Windows, находит в ней основной системный модуль - KERNEL32.DLL, анализирует его структуру и пытается найти в таблице экспортируемых имен функцию GetProcAddress. Причем для этого и в дальнейших своих поисках вирус использует необычный алгоритм поиска - он считает 32-разрядную контрольную сумму имени. После того, как название функции GetProcAddress найдено, вирус определяет ее адрес и сохраняет его для дальнейшего определения интересующих его адресов системных процедур. С помощью GetProcAddress вирус детектирует 36 адресов системных функций KERNEL32.DLL и далее с их помощью производит все свои манипуляции для дальнейшего своего размещения в памяти, поиска подходящих для заражения объектов, непосредственно самого заражения и прочих действий. Далее вирус выделяет себе блок памяти размером 132605 байтов, копирует в него свой код и передает ему управление.

Затем вирус определяет имя своей программы-носителя, создает новый файл с атрибутами скрытый и системный и с именем, которое генерируется вирусом по определенному закону и зависит от имени программы-носителя (например, для программы IEXPLORE.EXE будет создан файл FF.EXE), копирует в этот новый созданный модуль инфицированный файл и восстанавливает в первоначальное состояние точку входа данного файла. То есть вирус обезвреживает сам себя в этом заново созданном файле.

После этого Win32.Parvo.13857 определяет параметры командной строки, с которыми была запущена инфицированная исходная программа, и запускает на выполнение новый, обезвреженный от вируса модуль с помощью функции CreateProcessA, передав ему в качестве параметра командную строку запущенной инфицированной программы.

Таким образом, создается новая нить (thread) для исполнения свободной от вируса программы. Далее вирус пытается создать системный семафор с названием PARVOVIROSIS. Если происходит ошибка при создании этого семафора, то вирус считает, что его копия сейчас уже находится в памяти и прекращает свою дальнейшую работу.

Если же никакой ошибки не произошло, то вирус освобождает семафор PARVOVIROSIS и приступает к созданию своей полиморфной копии в памяти компьютера. В дальнейшем, в текущем сеансе работы, все подходящие для заражения файлы будут инфицированы именно этой полиморфной копией.

После создания своей полиморфной копии в памяти Windows вирус приступает к поиску своих файлов-жертв. Для этого он загружает в память модуль ADVAPI32.DLL и определяет по описанному выше алгоритму адреса 3 интересующих его процедур, работающих с файлом-реестром (registry). Вирус получает из файла-реестра полные пути к стандартному браузеру Интернет (как правило, Microsoft Internet Explorer) и к почтовому клиенту (как правило, Microsoft Outlook). Если данные системные компоненты установлены, то вирус производит поиск и заражение интересующих его объектов. Здесь и в дальнейшем вирус пытается заразить только 15 определенных программ, которые он детектирует по 32-разрядной контрольной сумме их имен. Такими подходящими для вируса программами являются файлы с именами: CUTFTP32.EXE, IEXPLORE.EXE, INSTALL.EXE, INSTALAR.EXE, MSIMN.EXE, NETSCAPE.EXE, NOTEPAD. EXE, NTBACKUP.EXE, ORDER.EXE, RASMON.EXE, SETUP.EXE, TELNET.EXE, WAB.EXE, WABMIG.EXE и WINZIP32.EXE. Файлы с другими именами вирус не трогает.

Признаком заражения для Win32.Parvo.13857 является длина файла, кратная 101. После поиска и заражения (или отказа от него) вирус освобождает загруженный им ранее модуль ADVAPI32.DLL и приступает к аналогичному поиску файлов-жертв в текущем каталоге диска, в каталоге \WINDOWS и в каталоге \WINDOWS\SYSTEM. После данных действий можно было бы работу вируса по заражению объектов считать оконченной. Но вирус так не считает и приступает к более интересному для специалистов занятию, из-за которого его можно считать первопроходцем. Он не отказывается от дальнейшего заражения файлов, но выбирает для этого компьютеры, находящиеся, возможно, за тысячи верст от инфицированной системы.

Итак, все интересующие объекты на данном компьютере и в данной системе вирусом инфицированы сейчас или были уже инфицированы ранее. Теперь вирус загружает в память два системных модуля WSOCK32.DLL и RASAPI32.DLL, отвечающие за работу удаленного доступа компьютера, и определяет 10 адресов процедур для WSOCK32.DLL и 3 адреса процедур для RASAPI32.DLL. После чего вирус детектирует наличие сервиса удаленного доступа компьютера (например, модемной связи с узлом Интернет). Если такая связь существует, то вирус пытается установить соединение по протоколу NNTP с одним из двух серверов новостей (news-servers), находящихся в Испании (DNS этих серверов присутствуют в теле вируса).

Если соединение установлено, то вирус запрашивает у сервера заголовок первой статьи случайно выбранной им конференции из следующего списка конференций: alt.bio.hackers, alt.hacker, alt.hackers, alt.hackers.malicious, alt.hacking, alt.hacking.in.progress, alt.binaries, alt.binaries.bbs, alt.crackers, alt.binaries.cracked, alt.binaries.cracks, alt.cracks, alt.binaries.cracks.encrypted, alt.binaries.dominion.cracks, alt.binaries.test, alt.binaries.erotica, alt.binaries.erotica.breasts, alt.binaries.erotica.fetish, alt.binaries.erotica.pornstar, alt.binaries.multimedia.erotica, es.binarios.sexo, es.charla.sexo, es.pruebas, es.comp.hackers, es.binarios.sexo, es.charla.sexo, es.binarios.misc.

У полученного заголовка статьи вирус ищет ключевое слово FROM: и запоминает адрес пользователя, пославшего данное письмо в эту конференцию. Далее вирус устанавливает связь по протоколу SMTP с одним из шести, определенных в теле вируса, почтовых серверов (mail-servers), пытается отправить письмо с собственным дроппером тому пользователю, имя которого вирус выяснил при общении с сервером новостей. Делает он это следующим методом: формирует и передает серверу все необходимые поля для отправки письма и выбирает случайным образом заголовок и сам текст письма из трех возможных. Письма могут быть следующего содержания:

Письмо 1:
From: cj_roland@quicknet.com to: <id@drweb.ru> subject: New and even larger serial number list out now!

Hi
Do you need a serial number for a unregistrated program of yours? Do you feel like you have looked for it everywhere? Even in the newest version of Phrozen Crews Oscar? If you can answer -yes- to some of the above questions and are still looking for a serial number, this might be the program you have been waiting for. We have collected serial numbers for many years and are now proud to release the very first version of our serial number collection, which contains more than 15.000 serial numbers. Attached to this message is the very first version of our serial number collection. Yours, Serial number collectors <cj_roland@quicknet.com>

Письмо 2:
From: hoteens@microsoft.com to: <id@drweb.ru> subject: Present security risk using Microsoft Internet Explorer and Outlook Express

A new and dangerous virus has hit the Internet.

DESCRIPTION: When the email client receives a malicious mail or news message that contains an attachment with a very long filename, it could cause the email to execute arbitrary code automaticly on the client workstation, thus infecting the machine. Microsoft has been aware of this problem from the very beginning and presents here a patch for the two of our products in which it exploits. Outlook 98 on Windowsо 95, Windows 98 and Microsoft Windows NTо 4.0 Outlook Express 4.0, 4.01 (including 4.01 with Service Pack 1) on Windows 95, Windows 98 and Windows NT 4.0 Netscape Mail Clients

SOLUTION: Customers using this products for Windows 95, Windows 98 or Windows NT 4.0 should execute the attached patch or download an updated patch from: http://www.microsoft.com/outlook/enhancements/outptch2.asp Please patch your computer(s) as soon as possible and help us fight this threat to the Internet. Thank for your time. Microsoft Support <support@microsoft.com>

Письмо 3:
From: hoteens@hoteens.com to: <id@drweb.ru> subject: New and 100% free XXX site

Dear potential customer, We have just opened a new erotic site with more than 10.000 .JPGs and more than 1.000 .MPG/.VIV/.AVI/.MOV/etc. We offer you the opportunity of a lifetime, we are giving away a months access, without being charged, to our new site in exchange for your opinion. All you have to do is execute the attached advert, which will generate your personal User ID, you dont even have to provide information as your personal credit card number, etc. And if you like our site, please tell all your friends about us. http://www.hoteens.com/ HoTeens.com <opinion@hoteens.com>

Продолжение - следует

Игорь Данилов, ООО САЛД. Тел. 298-8624

КОМПЬЮТЕР ИНФОРМ