V-zlom.ru » Статьи » Полное описание работы червя W32/Fizzer-mm

Полное описание работы червя W32/Fizzer-mm

Червь W32/Fizzer-mm
Краткое описание
Тип Почтовый червь
Среда обитания Операционные системы Windows 98/Me/NT/2000/XP и Windows 95, если установлена библиотека Windows Sockets 2.
Известные модификации .A(обнаружен 07.05.03)
Способы распространения Распространение через общедоступные сетевые диски и порты
Распространение через IRC
Распространение через KaZaA P2P программное обеспечение
Рассылка копий по электронной почте

Проявления Противодействие антивирусным программам
Существует возможность потери конфиденциальной информации
Возможность доступа и контроля над компьютером

Альтернативные имена Fizzer(F-Secure), W32.HLLW.Fizzer(Symantec), W32/Fizzer(Panda), W32/Fizzer(Sophos), Worm/Fizzu(Central Command), WORM_FIZZER(Trend), I-Worm.Fizzer(AVP), W32/Fizzer(McAfee), Win32.Fizzer(CA), Win32/Fizzer(RAV)

Внедрение в систему
Получив управление, червь копирует себя в каталог Windows с именами iservc.exe(основной компонент червя) и initbak.dat.
В этом же каталоге создает файлы:
ProgOp.exe - дроппер запускается, когда файл с расширением TXT открывается. ProgOp.exe запускает iservc.exe и затем заданный по умолчанию редактор текста. Также имеет возможность обновления iservc.exe из initbak.dat.
iservc.dll - компоненты захвата нажатий клавиш.
iservc.klg. - зашифрованный файл для хранения всех нажатий клавиш пользователем.
data1-2.cab - хранит зашифрованные адреса электронной почты, которые червь находит на инфицированном ПК.
uninstall.pky - файл для контроля инфицированного ПК. При его присутствии червь не инфицирует ПК. Содержание этого файла не имеет значение. Червь проверяет каждые 30 секунд присутствие этого файла и может проводить деинсталяцию себя от инфицированного ПК.
upd.bin - модификация червя, сохраненная от вебсайта(geocities), при автообновлении.
Для выполнения червя при старте Windows, добавляется в системный реестр: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SystemInit"=Windowsiservc.exe"
Для автоматического запуска червя с открытием файлов TXT, прописывается в ключи реестра: HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand "(Default)" = WINDOWSProgOp.exe 0 7 'WINDOWSNOTEPAD.EXE %1' 'WINDOWSinitbak.dat' 'WINDOWSISERVC.EXE' HKEY_LOCAL_MACHINESoftwareCLASSESApplicationsProgOp.exe
Создает обьект Mutex(объект синхронизации, который устанавливает состояние, когда только один поток владеет этим объектом в любой момент времени) с названием: "SparkyMutex", который позволяет только одному червю выполняться в системе т.е. не позволяет иметь множественные образы червя.
При выполнении присоединенного файла(дроппера) e-mail червь сначала ищет файл uninstall.pky в папке WINDOWS. Если файл существует, то не инфицирует ПК, в противном случае записывает свои файлы в папку WINDOWS. При активации этого дроппера создается файл iservc.exe и производится инфицирование.
Для отправки червя всем адресам в Outlook Contacts List, распространяется непосредственным подключением к SMTP-серверу.
Для систем WinNT/2K/XP червь создает сервисную службу по имени S1TRACE. Для систем Win9x/Me выполняется как "скрытый процесс".
Все ресурсы червя зашифрованы(кроме списка адресов e-mail) и сжаты.
Червь может производить отсоединение сервиса: "Отказ в обслуживании(Denial-of-Service)".
Червь имеет много компонентов и встроенный таймер, чтобы запускать различные процессы в разное время.
Червь способен делать большое количество дистанционно управляемых воздействий:
Отправка сбора данных окна/рабочего стола
Установка позиции/чувствительности мыши
Информация среды (операционная система, память, диски и т.д.)
Выполнение сценария
Обновление от удаленного доступа
Загрузка и установка исполняемых файлов
Фиксация нажатия клавиш
Передача/получение файлов
Чат сессии
Старт/стоп сервера HTTP
IRC вход в систему/выход из системы.
В начале кода червь содержит следующую строку: "Sparky will reign".
Присутствие вируса можно заметить по присутствию в начале кода выше описанной строки, замедлению работы компьютера, неожиданный трафик порта 6667(IRC) или 5190(AIM), присутствие выше описанных ключей реестра, появлению на жестких дисках файлов с именами ISERVC.EXE, INITBAK.DAT, PROGOP.EXE, ISERVC.DLL, UNINSTALL.PKY, DATA1-2.CAB , UPD.BIN, ISERVC.KLG.

Распространение
Червь распространяется через электронную почту, общедоступные сетевые диски, порты, IRC и KaZaA P2P программное обеспечение.

Распространение через общедоступные сетевые диски и порты.
Ветви локальной сети используют стандартные выполнимые расширения (.com, .exe, .pif, .scr).
Червь имеет дополнительные тайные(backdoor) возможности. Он создает сервер удаленного доступа контроля портов 2018-2021, для определения команд от отдаленного главного компьютера. Что может позволить несанкционированный доступ к инфицированной системе.
Порты используются для следующих целей:
2018 - порт команд (посылка/получение команд)
2019 - порт файлов (посылка/получение файлов)
2020 - порт консоли(управление режимом червя)
2021 - порт видео(фиксация и отправка видео)
Червь может также запускать сервер HTTP(порт 81), чтобы обеспечить дополнительный доступ к инфицированному компьютеру. Вебсервер действует как командный пульт, отображая информацию относительно инфицированной системы (системное время, информация подключения, OS версия, IRC и информация AIM). Это также позволяет хакеру определять некоторые функции, типа атака Denial of Service, распространения почты, AOL/IRC команды, и антивирусное программное завершение.
Червь соединяется с узлом AIM(AOL Instant Messenger), чтобы регистрировать нового, со случайным именем, пользователя. Потом соединяется с чат сервером AIM(порт 5190) и присоединяется к чату и контролю дальнейших команд. Хакер может устанавливать связь к чату и управлять режимом червя дистанционно.

Распространение через IRC.
Червь пингует много различных серверов IRC. При получении связи с каналом сервера, использует много различных внутренних имен пользователя и ждет дальнейшие команды от хакера.
Список используемых серверов IRC следующий: irc.p2pchat.net, irc.idigital-web.com, irc.cyberchat.org, irc.othernet.org, irc.chatx.net, irc.cyberarmy.com, irc.gameslink.net, irc.afternet.org, irc.dal.net, irc.eu.dal.net, irc.ablenet.org, irc.axenet.org, irc.aXpi.net, irc.ayna.org, irc.azzurra.org, irc.bahamutirc.net, irc.bappy.eu.org, irc.bdsm-net.com, irc.beyondirc.net,...
Червь(в виде iservc.exe) соединяется с отдаленным сервером IRC, присоединяется к очередному каналу и затем выполняет непрерывно в фоновом режиме контроль команд, посылаемых каналу.

Распространение через KaZaA P2P программное обеспечение.
Червь пытается распространяться через совместное использование файла на P2P сетях, копируя себя в KaZaA общедоступную папку со случайно сгенерированными именами файла. Он определяет заданную по умолчанию папку загрузки для KaZaa в системном реестре, чтобы инфицировать файлы.

Рассылка копий по электронной почте
Червь используется как присоединенный файл к сообщению и для выполнения требует, чтобы пользователи "дважды щелкнул" на вирус, чтобы инфицировать ПК.
Отыскивает адреса электронной почты в:
адресных книгах Outlook и Windows(WAB)
папках "Recent", "My Documents", "Cookies" и "Internet Cache"
недавно открытых папках файлов
временных файлах Internet
персональной папке
локальной системе.
Червь также имеет возможность случайного генерирования адресов.
Червь использует текущую программу MAPI, чтобы послать себя всем найденным адресам электронной почты.
Червь может посылать себя к случайным адресам: случайное название(от внутреннего списка) + случайное число(необязательно) + @Случайный домен: aol.com, earthlink.com, gte.net, hotmail.com, juno.com, msn.com, netzero.com, yahoo.com,...
Червь иногда подделывает адрес отправителя случайным выбранным именем для электронной почты. Строка темы электронной почты, текст сообщения и имя присоединенного файла случайно создаются и используют длинные списки строк.
Тема и тело сообщения создаются из большого списка английских и немецких слов и фраз, которые распространяет червь.
E-mail имеет следующие характеристики:
Тема: "I thought this was interesting...", "rather psychedelic...", "found this on the net, you might like it...", "WASSUP!", "Know Thyself", "Hell", "I love you", "Please discard if you don't like or agree with our present leadership...", "I think you might find this amusing...", "LOL", "check this out... hehehe", "question...", "see you tomorrow.", "how are you?", "you need to lose weight.", "why?", "kind of simple, but fun nonetheless.", "check it out.", "huhu Camper ;))", "Sandy es freut mich sehr, da? du heut so gut drauf bist ;)" , "da kannst ja gleich einen kuchen auch noch backen ;D", "die dich nur anschnautzen kann und sonst nix ;)",...
Сообщение: "I sent this program (Sparky) from anonymous places on the net.", "The way to gain a good reputation is to endeavor to be what you desire to appear.", "Today is a good day to die...", "so, how are you?", "the attachment is only for you to look at", "If you don't like it, just delete it.", "thought I'd let you know", "you don't have to if you don't want to.",...
Имя расширения присоединенного файла: .exe, .pif, .com, или .scr.
Имена расширения присоединенного файла могут быть смешаны (комбинированы с INI - INI.EXE, INI.COM, INI.PIF или INI.SCR).

Проявления
Противодействие антивирусным программам
Червь пытается закончить процессы(различных антивирусных программ), которые содержат в названии одну из следующих строк в их названиях: NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN,...
Существует возможность потери конфиденциальной информации
Хакер может получить доступ к пользовательским входам в систему, паролям и конфиденциальной информации при осуществлении доступа к файлу ISERVC.KLG, где хранятся все пользовательские нажатия клавиш.
Возможность доступа и контроля над компьютером
Червь пытается настроить тайное(backdoor) соединение с IRC сервером. Удаленный пользователь может получить доступ и контроль над компьютером, используя клиента IRC. Инфицированные системы таким образом станут уязвимыми к несанкционированному доступу и управлению. К этому может приводить и доступ к портам 81, 2018-2021 и 5190.

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 2327
0

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!