1. Источники попадания червя Win32.Email-Worm.Wukill.A в компьютер.
Червь начал свое распространение примерно в конце марта 2005 года. Может попадать в компьютер двумя путями: либо в виде письма с приложенным файлом, представляющим собой копию программы червя, либо через СНИ, такие как, например, дискеты и флэшки (теоретически, также может попадать в компьютер и через файло-обменные сети под видом "полезного" файла). В обоих случаях червь может активизироваться только в том случае, если пользователь собственноручно запустит вредоносный файл.
2. Инсталляция в систему.
Программа червя написана на языке Microsoft VB версии 6.0 и откомпилирована в формат PE EXE-приложения (Windows-программы). Файл имеет оригинальный размер 49152 байта (никакими утилитами криптования или компрессии код не обработан), однако в некоторых случаях может иметь больший размер (см. п.6 данного описания).
Для работоспособности червя в ОС Windows должна быть установлена техническая библиотека msvbvm60.dll. Этот компонент необходим для работы любых специализированных и пользовательских программ, написанных на Microsoft VB 6-й версии. В Windows 9X/ME он отсутствует (про Windows 2K точно не скажу), но может быть позаимствован, например, из Windows XP (там он точно есть) и записан для 9X/ME в системный подкаталог %windir%\SYSTEM.
Если червь при запуске не находит этот компонент, то на экран выдается стандартное системное сообщение об ошибке запуска программы и заражения системы не происходит:
VirusHunter предупреждает всех пользователей ПК о массовом распространении деструктивного червя Win32.Email-Worm.Wukill.A (aka Win32.Rays.A@mm) через вложения в почтовых посланиях, а также через съемные носители информации...
Некоторые определения, встречающиеся в описании.
VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.
VB - Visual Basic. Язык программирования, используемый в Windows-системах. На данном языке пишутся многие системные и пользовательские приложения (программы).
Апплет - дополнительная скрипт-программа, использующая т.н. "активные системные сценарии". Обычно написана на VBS или JS (Java Script). Такие программы используются для спец. вставок при оформлении Интернет-страниц (например, движущиеся картинки, страничка со звуковым оформлением и т.п.).
Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.
Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым.
СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации".
%windir% - каталог, в который установлена ОС Windows.
%user% - каталог текущего пользователя в ОС Windows 2K/XP.
1. Источники попадания червя Win32.Email-Worm.Wukill.A в компьютер.
Червь начал свое распространение примерно в конце марта 2005 года. Может попадать в компьютер двумя путями: либо в виде письма с приложенным файлом, представляющим собой копию программы червя, либо через СНИ, такие как, например, дискеты и флэшки (теоретически, также может попадать в компьютер и через файло-обменные сети под видом "полезного" файла). В обоих случаях червь может активизироваться только в том случае, если пользователь собственноручно запустит вредоносный файл.
2. Инсталляция в систему.
Программа червя написана на языке Microsoft VB версии 6.0 и откомпилирована в формат PE EXE-приложения (Windows-программы). Файл имеет оригинальный размер 49152 байта (никакими утилитами криптования или компрессии код не обработан), однако в некоторых случаях может иметь больший размер (см. п.6 данного описания).
Для работоспособности червя в ОС Windows должна быть установлена техническая библиотека msvbvm60.dll. Этот компонент необходим для работы любых специализированных и пользовательских программ, написанных на Microsoft VB 6-й версии. В Windows 9X/ME он отсутствует (про Windows 2K точно не скажу), но может быть позаимствован, например, из Windows XP (там он точно есть) и записан для 9X/ME в системный подкаталог %windir%\SYSTEM.
Если червь при запуске не находит этот компонент, то на экран выдается стандартное системное сообщение об ошибке запуска программы и заражения системы не происходит:
При запуске вредоносного вложения из почтового послания (название файла всегда одно и то же - MShelp.exe) червь выдает на экран следующее ложное сообщение о "повреждении файла", чтобы сбить пользователя столку
Затем червь копирует себя в системный каталог под следующими названиями:
%windir%\Mstray.exe
%windir%\MShelp.exe
Сразу следует отметить, что значок-иконка у всех файлов-копий червя при просмотре через Проводник или файловый редактор-менеджер Total Commander косит под значок-иконку, характерный для папок. Вот, например, как будет выглядеть в списке файлов Mstray.exe:
Также червь считывает имя текущего диска, откуда его файл-вложение был запущен (обычно системный диск), после чего пытается скопировать себя на диск или СНИ, имя которого в списке носителей предшествует данному, т.е., например, при запуске с диска C: таковым будет диск А:, а при запуске с диска D: - диск C: и т.п. Если выбранный червем диск или СНИ доступен для записи, то червь также запишет в его корень свою копию MShelp.exe.
Файл Mstray.exe является рабочим файлом червя и при последующих запусках системы будет автоматически получать управление. Для этого в системном реестре создается следующий ключ со значением под названием "RavTimeXP":
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RavTimeXP"="%windir%\\Mstray.exe"
Также червь изменяет следующие значения в нижеприведенном ключе реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"HideFileExt"=dword:00000001
В принципе, величины данных значений во всех Windows-системах "по умолчанию" являются базовыми. Однако червь изменяет их, т.к. опытные пользователи обычно заменяют в настройках системы величину значения "Hidden" с "0" на "1", чтобы при работе с Проводником были доступны файлы и папки, которым присвоены атрибуты "системный" и/или "скрытый" ("system" и "hidden" соответственно). Что же касается установки червем вышеуказанной стандартной величины значения "HideFileExt" (т.е. "1"), то это ему необходимо для сокрытия расширения "EXE" у файла Mstray.exe и пр. своих копий, чтобы при работе с Проводником такие файлы выглядели как реальные папки (см. картинку выше).
Кроме того, червь заменяет новой величиной и принятое "по умолчанию" следующее значение нижеприведенного ключа реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\]
"FullPath"=dword:00000001
Данное изменение червь производит для возможности осуществления специальной процедуры, связанной с созданием своих копий в открываемых пользователем каталогах (см. п.3 данного описания).
При запуске на чистой машине файла червя под названием winfile.exe непосредственно с СНИ или жесткого диска процедура инсталляции в систему и изменения соответствующих ключей реестра практически полностью идентичны вышеописанным вещам. Отличия заключаются лишь в следующем: при запуске червь не выдает на экран никаких сообщений (поскольку название файла отлично от MShelp.exe), а также не создает никаких файлов кроме как рабочей копии Mstray.exe.
После всех вышеописанных действий червь завершает свою работу и до следующего перезапуска системы остается неактивным.
и т.д.
Более подробно и с картинками можно посмотреть на http://daxa.com.ua/vir.php?hnum=28
Отредактировано Maxim (2007-07-11 11:01:54)