В диком виде был
обнаружен комбинированный червь-вирус,
заражающий системы под управлением win32.
Вирус заражает формат PE, пытается рассылать
себя в виде пустых почтовых сообщений с
вложениями, а так же инсталлирует бэкдоры
на заражённой системе. Вирус привёл к
глобальной эпидемии в сентябре-октябре
сего года.
Вирус имеет не совсем
обычную структуру. Он состоит из трёх
независимых компонент, каждая из которых
способна функционировать без остальных (сам
вирус, почтовый червь и бэкдор). Вирус
является главным компонентом, который
содержит в сжатом виде код бэкдора и червя.
После заражения объекта, вирус
разархивирует данные компоненты и
запускает их.
Структура вируса
представляет собою рутины заражения файлов
и декомпрессии, после которых следует
сжатый код червя и бэкдора. Вирус
дописывает своё тело в конец заражаемых
файлов.
Код червя не содержит все
необходимые рутины для заражения системы,
однако он способен перехватывать рутины
посылки почтовых сообщений и отправлять
себя вслед за каждым отосланным письмом.
Однако червь не может заражать файлы, и
прежде чем отослать свою копию по
электронной почте, червь сам заражается
вирусом. Причина такого кривого алгоритма
неизвестна - возможно, вирус и червь
реализовывались различными людьми.
Анализ вирусного
компонента
Вирус использует
технологию "поиска входной точки" при
инфицировании файла. Это означает, что
вирус не модифицирует входную точку, а
размещает инструкцию перехода к своему
коду где-то посередине файла, что должно
затруднить его поиск. В результате вирус
стартует при исполнении заражённого файла
лишь тогда, когда начинает исполняться
модифицированная процедура.
Вирус так же является
зашифрованным, и при своём старте он
декриптует себя. Вирус получает таблицу
ссылок на важные для него функции ядра
путём анализа ядра win32.
Затем вирус проверяет, не
запущены ли антивирусные программы. Если он
обнаруживает их, то сразу же выходит. Список
таких программ: AntiViral Toolkit Pro, AVP Monitor, Vsstat,
Webscanx, Avconsol, McAfee VirusScan, Vshwin32, Central do McAfee, VirusScan..
Потом вирус инсталлирует свои компоненты в
системе. Они разархивируются в папку windows.
После этого создаются три файла, на них
устанавливается атрибут скрытого файла.
Эти файлы таковы:
IE_PACK.EXE - код червя.
WIN32.DLL - код червя, заражённый вирусом.
MTX_.EXE - код бэкдора.
После этого вирус
заражает исполняемые файлы и библиотеки в
текущей директории, папке windows и выходит.
Анализ червя
Для рассылки своих копий,
червь использует технологию, схожую с
технологией happy99. Червь модифицирует файл
wsock32.dll и перехватывает рутину send. В
результате червь получает контроль над
всеми данными, рассылающимися с машины в
интернет.
Как правило, файл wsock32
открыт в момент старта червя, и поэтому
запись в него невозможна. Червь копирует
данный файл в файл wsock32.mtx, заражает новый
файл и добавляет следующие строки в файл
инициализации windows:
NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL= D:\WINDOWS\SYSTEM\WSOCK32.MTX
После перезагрузки
заражённый файл wsock32.dll заменяет оригинал.
Вирус контролирует имена посещаемых сайтов,
а так же адреса получателей почтовых
сообщений. Вирус предотвращает доступ к
интернет-сайтам, в именах которых
присутствуют следующие сочетания букв: nii.
nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman
Так же вирус блокирует
отправку почтовых сообщений в следующие
домены: wildlist.o* il.esafe.c* perfectsup* complex.is* HiServ.com*
hiserv.com* metro.ch* beyond.com* mcafee.com* pandasoftw* earthlink.*
inexar.com* comkom.co.* meditrade.* mabex.com * cellco.com* symantec.c*
successful* inforamp.n* newell.com* singnet.co* bmcd.com.a* bca.com.nz*
trendmicro* sophos.com* maple.com.* netsales.n* f-secure.c*
Червь так же
перехватывает всю исходящую почту и
пытается послать вслед за сообщением свою
копию, представляя себя в виде файла
вложения с именем из следующего списка: README.TXT.pif
I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif
HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE
BLINK_182.MP3.pif.
Данные файлы
представлены файлом win32.dll, который есть
червь, заражённый вирусом.
Анализ бэкдора
После запуска, бэкдор
создаёт новый ключ по адресу [HKLM]\Software\Matrix. В
случае, если в следующий раз этот ключ
обнаружен, бэкдор не производит процедуру
инсталляции. Далее вирус создаёт следующий
ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemBackup=%WinDir%\MTX_.EXE
Затем бекдор пытается
соединиться с некоторым адресом в
интернете, скачать оттуда предопределённые
файлы и запустить их. Ошибка в данной версии
вируса приводит к появлению стандартного
сообщения об ошибке при попытках доступа к
данному сайту в интернете.
В связи с тем, что вирус
блокирует доступ к сайту AVP, лечащую версию
антивируса можно скачать тут: avp
platinum (8.7 M). В процессе сканирования вам
будет нужно снять из списка процессов
explorer.exe, чтобы avp мог вылечить ОС.