Macro.Word97.Trojan.Tvangeste

Macro.Word97.Trojan.Tvangeste

Macro.Word97.Trojan.Tavngeste - это макрос, сочетающий в себе некоторые функции троянского коня. Добавляет в конец файла AUTOEXEC.BAT команды, удаляющие все данные на дисках C:,D:,E:, и затем выводит на экран сообщение:
"World War starting now!
Tvangeste v 1.0
3rd World War"
Затем макрос входит в бесконечный цикл, в котором выводит на экран сообщение:
"3rd World War".
Tvangeste.b

Сохраняет копию зараженного документа под именем "C:\Program Files\Microsoft Office\Шаблоны\ka-feln.dot" и добавляет в конец файла AUTOEXEC.BAT команды:

cd C:\Program Files\Microsoft Office\Шаблоны\

del normal.dot

ren kafeln.dot normal.dot

Таким образом макрос пытается заменить шаблон "по умолчанию" на зараженный шаблон, но это работает только в том случае, если каталог шаблонов в MS Word установлен "C:\Program Files\Microsoft Office\ Шаблоны\".

В файл AUTOEXEC.BAT добавляются команды:
md c:\atp_tour
md c:\atp_tour\kafelnik.001
md c:\atp_tour\sampras.002
md c:\atp_tour\corretja.003
md c:\atp_tour\rafter.004
md c:\atp_tour\moya.006
md c:\atp_tour\henman.007
md c:\atp_tour\rios.008
md c:\atp_tour\philipou.009
md c:\atp_tour\kucera.010
md c:\atp_tour\krajicek.005
subst k: c:\atp_tour nul

Затем макрос выводит на экран сообщения:
"3 мая 1999 года Кафельников - номер 1!!!!!!!!
3 мая 1999 года Кафельников - номер 1!!!!!!!!
Tvangeste v 2.0
Kafelnikov"

I-Worm.Happy

Один из первых появившихся в этом году Internet-червей (Internet Worm), на основе "наработок" которого после были сделаны PrettPark, K2PS.EXE Trojan и другие.

I-Worm.Happy использует не дисковые файлы как основные объекты для размножения и распространения своих копий, а рассылает свой код в сеть Интернет в виде вложений в электронные письма. Червь был "выпущен на волю" в январе 1999 (предположительно автором червя) - зараженные письма были разосланы на несколько Internet-серверов новостей. Через несколько дней сообщения о зараженных компьютерах были зарегистрированы в европейских сетях Internet.

I-Worm.Happy распространяется как вложенный в письмо EXE-файл с именем HAPPY99.EXE. При запуске этого файла червь вызывает видео-эффект, напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого он активирует процесс инсталляции своего кода в систему: копирует себя в системный каталог Windows, перехватывает функции работы с Интернет, конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым письмам. То есть червь, инсталлированный в систему, рассылает свои копии в Интернет по всем адресам, на которые пользователь посылает свои сообщения.

При инсталляции в систему I-Worm.Happy изменяет только файлы в системном каталоге Windows: создает в этом каталоге файлы SKA.EXE и SKA.DLL; сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL. В некоторых случаях червь также регистрирует файл SKA.EXE в системном реестре.

Некоторые технические особенности

I-Worm.Happy представляет собой файл HAPPY99.EXE размером ровно 10.000 байт. Данный файл является стандартным выполняемым файлом Windows32 (PE - Portable Executable). Червь работоспособен под Win95/98, однако из-за ошибок не в состоянии функционировать под WinNT.

В теле I-Worm.Happy содержится несколько строк текста, часть из которых зашифрована:
"Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll \Ska.exe"

При запуске файла управление передается на процедуру инсталляции червя. Он копирует свой файл HAPPY99.EXE в системный каталог Windows под именем SKA.EXE и создает там же дополнительный DLL-файл SKA.DLL. Этот файл хранится в теле червя в упакованном и зашифрованном виде в сегменте данных.

Затем копируется файл WSOCK32.DLL в файл WSOCK32.SKA (делаетcся резервная копия) и модифицируется код WSOCK32.DLL. Если в этот момент файл WSOCK32.DLL задействован системой и его невозможно открыть на запись, червь создает новый ключ в системном реестре и записывает в него команду авто-запуска своей копии при очередном старте Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE

В файл WSOCK32.DLL червь записывает свою процедуру инициализации и меняет адреса двух экспортируемых функций. Процедура инициализации является достаточно короткой (всего 202 байта) и записывается в конец кодовой секции файла WSOCK32.DLL перед секцией данных. Поскольку в файле WSOCK32.DLL для этого достаточно места, его размер при заражении не увеличивается. Затем червь корректирует таблицу экспортов файла таким образом, что две функции "connect" и "send" указывают на код червя на два соответствующих перехватчика.

При обращении к ресурсам Интернет операционная система загружает WSOCK32.DLL, процедура инициализации активизируется и перехватывает два события: сетевое соединение и передачу данных. I-Worm.Happy обрабатывает два типа соединений: по портам почты и новостей (порты 25 и 119 - smtp и nntp). В момент установки одного из таких соединений червь загружает свою библиотеку SKA.DLL, которая имеет две экспортируемые процедуры: mail и news. В зависимости от номера порта после вызывается одна из этих процедур, однако обе они суть одно и то же: обрабатывают заголовки посылаемых писем, запоминают адрес, на который отправляется письмо, и затем посылают на тот же адрес новое письмо с вложенным в него файлом HAPPY99.EXE. Червь также добавляет в служебный заголовок "зараженных" писем свой идентификатор: X-Spanska: Yes.

Еще он запоминает в файле LISTE.SKA, находящемся в системном каталоге Windows, все адреса, на которые расссылаются "зараженные" письма. Этот "лог-файл" имеет ограниченный размер и содержит до 5Kб данных, т.е. примерно до 200 адресов, на которые червь передал свои копии.

Win95.K32

Найден не очень опасный резидентный вирус под Windows 95, который заражает PE-запускные файлы Windows. Данный вирус не является деструктивным, но все же содержит "полезную нагрузку". 19 февраля каждого года он выводит окно с загловком "nIgr0_lives_here!!!!" и текстом в нем "Virus K32 por nIgr0 ... "Hazlo o no lo hagas pero no lo intentes""

Процедура заражения Win95.K32 такова. Он увеличивает размер последней секции файла и записывает туда свой код длиной 3030 байт.

При запуске зараженного файла вирус сканирует ядро Windows95 (код KERNEL32.DLL), определяет адреса необходимых функций Windows (CreateFile, SetFilePointer, ReadFile, WriteFile, CloseHandle, CreateProcessA, GetModuleHandleA, GetProcAddress), копирует свой код в неиспользуемые данные ядра Windows95 и перехватывает процедуру CreateProcess, для чего патчит ядро Windows95.

Данный вирус с легкостю удаляется с помощью последних версий антивирусного программного обеспечения.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 25 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета