Троянские кони от имени Лаборатории Касперского продолжают наступать на пользователей

"Троянские кони" от имени Лаборатории Касперского продолжают наступать на пользователей

Как сообщает Лаборатория Касперского, 24 августа с.г. в адрес ряда зарегистрированных пользователей электронной почты (в том числе и на адрес info@avp.ru) от имени этой российской компании поступило сообщение - предупреждение о появлении нового "чихо-подобного" вируса. Подписана данная фальшивка именем руководителя Лаборатории Касперского Евгением Касперским. Помимо описания псевдо-вируса Daytona_ICQ-1089, в послание был вложен файл ICQclean.exe, в котором находился "троянский конь".

Лаборатория Касперского в очередной раз призывает пользователей электронной почты внимательно относиться ко всем непроверенным сообщениям. Компания напоминает, что никогда не рассылает исполняемых файлов (.EXE,.COM и т.д.) в открытом виде и что Евгений Касперский сам не занимается написанием и рассылкой пресс-релизов - это делают сотрудники Лаборатории. 25.08.99 - InfoArt News Agency

Подробнее

В данной части бюллетеня использована информация Лаборатории Касперского (http://www.avp.ru) - самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение.

Win32.Kriz

Крайне опасный резидентный полиморфный Windows-вирус. Размножается под Win32 и заражает выполняемые файлы Windows (PE EXE-файлы), которые имеют расширения .EXE и .SCR. Вирус также заражает KERNEL32.DLL, что позволяет вирусу оставаться в системе резидентно на все время работы Windows. Вирус при этом заражает KERNEL32.DLL таким образом, что копия вируса перехватывает функции KERNEL32: открытие, копирование, перемещение файлов и т.д. При вызове таких функций вирус заражает файлы, к которым идет обращение. Вирус проверяет имена файлов и не заражает некоторые антивирусные программы: _AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32. EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT. EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE.

Вирус имеет крайне опасную деструктивную процедуру, которая активизируется 25 декабря. В этот день вирус при обращении к первому.EXE- или.SCR-файлу стирает CMOS, записывает "мусор" во все файлы во всех подкаталогах на всех дисках от C: до Z:, затем портит Flash BIOS (при этом использует процедуру из вируса "Win95_CIH":Win95_CIH - "Чернобыль").

При старте зараженного файла управление передается на полиморфный расшифровщик вируса, который затем передает управление на основные вирусные процедуры заражения PE-файлов и KERNEL32.DLL. При заражении вирус использует функции Windows, адреса которых получает сканированием ядра Windows. Затем вирус заражает файл KERNEL32.DLL.

При заражении KERNEL32 и других выполняемых PE-файлов вирус создает в конце файла дополнительную секцию, шифрует и записывает туда свой код и модифицирует стартовый адрес программы таким образом, что при загрузке в память зараженного файла управление передается на код вируса. Вирусная секция имеет имя "...". Для того чтобы отличать зараженные файлы от незараженных, вирус также записывает строку-идентификатор "666" в неиспользуемое поле PE-заголовка. При заражении файла KERNEL32.DLL вирус также сканирует таблицу экспортов этого файла и модифицирует адреса нескольких функций таким образом, что при загрузке этого модуля вызовы этих функций будут идти через перехватчики вируса. Таким образом, вирус перехватывает функции KERNEL32.

Всего вирусом перехватывается 16 функций KERNEL32 - открытие, копирование, уничтожение файлов, запуск процессов и т.п. Для заражения KERNEL32.DLL вирусу требуется получить права записи в этот файл, что невозможно по той причине, что при работе Windows этот файл может быть открыт только в режиме "чтение". По этой причине вирус использует достаточно стандартный прием замещения KERNEL32: вирус создает его копию с именем KRIZED.TT6, заражает ее и записывает в файл WININIT.INI команду замещения "настоящего" KERNEL32.DLL на его зараженную копию. При следующей загрузке Windows исполняет эту команду, и система оказывается зараженной.

I-Worm.SysClock

Internet червь (вирус типа червь), распространяющийся через E-mail, IRC каналы, заражающий файлы на локальных компьютерах и распространяющий себя по локальной сети. Ворует системные пароли (PWL файлы) на зараженных компьютерах, проявляет себя множеством способов.

Червь представляет из себя 80Kb Win32-программу (PE EXE), написанную на языке программирования Delphi. "Чистый" код червя занимает около 20Kb, а остальное - код Delphi run-time библиотек, данные и прочая информация.

Червь прибывает по e-mail в виде фальшивого сообщения (смотри ниже) c подключенным PKZIP.EXE файлом, который и является червем. При запуске червь устанавливается в систему, заражает файлы на локальном компьютере, передает свои копии на доступные логические диски (включая сетевые), поражает mIRC-клиента (если таковой установлен) и посылает зараженные сообщения по электронной почте, используя для этого почтовую систему Eudora.

Инсталляция в систему

При внедрении своего кода в систему червь копирует себя под именем KERNEL.EXE в каталог Windows (в случае Win95/98) или в системный каталог Windows (в случае WinNT) и регистрирует себя в системном реестре как авто-исполняемую программу:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysClock=kernel.exe

Червь также имеет процедуру дополнительной установки, которая устанавливает копии червя на все доступные диски.

Заражение компьютера

Червь заражает всего около 40 файлов на компьютере, при этом заражает не более четырех файлов при каждом запуске. Червь заражает следующие файлы в каталоге Windows: NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP. EXE, REGEDT32.EXE, TASKMGR.EXE, USRMGR.EXE.

Затем червь заражает программы, которые связаны с определенными ключами реестра. При заражении каждого файла червь использует метод компаньон-инфекции: переименовывает файл-жертву в восьми-байтовое случайно сгенерированное имя с расширением.EXE (например, GTGUQPPA.EXE, XOHSKVXQ.EXE и т.п.) и копирует свой код вместо заражаемого файла (замещает его). В результате копия червя будет выполняться всякий раз, когда пользователь или система выполняет зараженный файл.

Для того чтобы возвратить управление обратно исходному файлу, червь сохраняет имена файлов в ключе реестра HKCU\AppEvents\Schemes\Apps\.Default\SystemStart\Windows, например:

C:\WIN95\calc.exe "gtguqppa.exe", C:\WIN95\mplayer.exe "xohskvxq.exe", и т.п.

Чтобы не заражать файлы дважды, червь проверяет переменную FileVersion, которая хранится в файловых ресурсах PE EXE-файлов. В зараженных файлах эта переменная равна "1.3.5.7".

Заражение локальных и сетевых дисков

Червь также копирует себя и "регистрирует" свои копии на всех доступных логических дисках, включая сменные (флоппи) и сетевые. При заражении флоппи-дисков червь ищет на них файл AUTOEXEC.BAT и добавляет инструкцию, которая запускает PKZIP.EXE при загрузке с диска, а затем копирует себя на этот диск с именем PKZIP.EXE.

При заражении жестких дисков червь также копирует себя с именем в корневые каталоги этих дисков. Чтобы запустить свою копию червь создает там же файл AUTO-RUN.INF и записывает туда инструкцию, которая запускает файл PKZIP.EXE (копию червя) при следующем запуске Windows:

[autorun]

open=pkzip.exe

При заражении удаленного диска червь прежде всего проверяет этот диск на возможность записи. Для этого что червь создает на нем файл TEMP9385.058 и удаляет это. В случае ошибки при создании файла вирус выходит из процедуры заражения. В противном случае (диск открыт на запись) копирует себя на этот диск с именем PKZIP.EXE и создает файл AUTORUN.INF (тем же способом, описанным выше). Кроме того, червь ищет на диске каталоги \Windows и \WinNT и регистрирует свою копию PKZIP.EXE в файле WIN.INI в секции [Windows] "run=". Эта операция также вызывает выполнение копии червя при следующем старте Windows.

При заражении сетевых дисков червь также уничтожает там несколько исполняемых файлов (если они существуют) и записывает в них свою копию:

Acrobat3\Reader\Acrord32.exe

Eudora95\Eudora.exe

Program Files\Microsoft Office\Office\Outlook.exe

Program Files\Internet Explorer\Iexplore.exe

Program Files\WinZip\WinZip32.exe

Program Files\Microsoft Office\Office\WinWord.exe

Program Files\Netscape\Program\Netscape.exe.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 34 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета