Эпидемия BadtransII приобретает массовый характер
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает: эпидемия Интернет-червя BadtransII приобретает массовый характер.За первые 24 часа скорость распространения BadtransII по сети в десятки раз превысила показатели печально известных SirCam, Melissa и I love you.*
BadtransII является модификацией вируса, появившегося в апреле этого года. Червь использует ту же брешь в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя.
Червь проникает на компьютеры в виде электронного письма, тема которого может быть пустой или «Re:». Тело письма пустое. Имя вложенного файла случайно выбирается из нескольких вариантов:
"Pics" или "PICS", "images или "IMAGES","README", "New_Napster_Site" ,"news_doc" или "NEWS_DOC", "HAMSTER", "YOU_are_FAT!" или "YOU_ARE_FAT!", "stuff", "SETUP" ,"Card" или "CARD", "Me_nude" или "ME_NUDE", "Sorry_about_yesterday", "info", "docs" или "DOCS", "Humor" или "HUMOR", "fun" или "FUN", "SEARCHURL", "S3MSONG"
Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например "info.DOC.scr".
Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка:
Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Anna, JUDY, Tina.
При запуске вложенного файла, вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы, и обеспечивает неавторизованное проникновение извне на зараженный компьютер.
...
I-Worm.BadtransII
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также содержит в себе программу-"шпиона". Был обнаружен в ноябре 2001 года.
Червь является приложением Windows (PE EXE-файл), имеет размер около 29K упакован UPX, около 60K в распакованном виде). Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.
Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).
Заражение системы
При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.
Имя устанавливаемого файла-червя, каталог установки (Windows или Windows\SYSTEM) и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой очередного варианта червя. Все эти значения хранятся в конце зараженного файла в зашифрованном виде.
Прочие переменные значения, которые могут быть изменены:
имя DLL-шпиона
уничтожение исходного файла-червя после установки копии
предельный размер файла, в который записывается текст, введенный с клавиатуры
Рассылка писем
Для отсылки писем червь использует соединение с SMTP-сервером. Электронные адреса, по которым рассылаются письма, выделяются червем двумя способами:
Поиск строк-адресов в файлах *.HT* и *.ASP
MAPI-соединение с Входящими письмами и выделение из них электронных адресов
Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.
Поля сообщений следующие:
From: - либо "настоящий" адрес пользователя, либо один из вариантов:
При этом "настоящий адрес" слегка модифицируется: перед ним вставляется символ подчеркивания "_". Например, вот так будут преобразованы адреса:
"John K. Smith" "Vasja Pupkin"
"John K. Smith" <_john123@yahoo.com> "Vasja Pupkin" <_vasyap@rambler.ru>
Заголовок: - пустой, или "Re:", или "Re:" с присоединенным текстом, который червь выделяет из Заголовка сообщения (при чтении сообщений через MAPI, см.выше).
Червь не отсылает сообщения дважды на одинаковый адреса. Для этого он запоминает их в закодированном виде в файле PROTOCOL.DLL в системном каталоге Windows. Перед каждой отсылкой письма червь по этому файлу проверяет электронный адрес на его уникальность.
Троянец-шпион
Сохраняет украденную информацию в специальном файле (информация при этом шифруется) и периодически отсылает ее на один из случайно выбранных адресов.
Ниже приведен список этих адресов и почтовых серверов, через которые идет отсылка (email + server):
24-го ноября "в диком виде" был обнаружен вариант червя, который имеет следующие характеристики:
инсталлирует себя в системный каталог Windows под именем KERNEL32.EXE и регистрирует в реестре:
Клавиатурный шпион под именем KDLL.DLL создается также в системном каталоге Windows. Лог информации ведется в файле CP_25389.NLS. Информация шифруется, в качестве ключа используется кеш строки "uckyjw@hotmail.com".
В общем, "червя" "I-Warm-MTX" я словил в начале июня - не взял его Касперский, вообще ничего не взяло. Особых гадостей не было первое время, потом начал "фотошоп" подвисать, потом и "ворд", пришлось переустановить систему...
Вчера, слава Богу, пронесло... Как понял, что гадость лезет - ну никогда "Вин-медиа" сам не запускался вместе с письмом. Удалили из верхней панели, не прикасаяськ письму на всякий пож., мышью. После - "проверился" Касперским... Уф-ф-ф...