ROBAKI

ALCARYS.B

Alcarys.B jest kolejnym robakiem z niebezpiecznej rodziny, którego działanie poza rozsyłaniem się za pomocą poczty elektronicznej polega również na nadpisywaniu określonych plików systemowych, a przez to zawieszaniu komputera. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego, losowo tworzonego z następujących elementów (do każdego listu załączone są cztery pliki): Temat:
i've got cool stuffs here...
nice stuffs i got here...
check this out...
i want you to know how much i care for you...
hello! i'm your long, lost friend...
talk to me... tell me your name...
kindness is a virtue...
Treść:
three files for you to keep...
always remember that i'm into deep...
i don't know you but i think i'm in love...
sharing files is the essence of living...
check this out...
hi, friend...
here are some nice stuffs that i got from
the internet...
check it out...
hmmmn...
i guess you've forgotten me...
but anyways, i wanna make up...
here are the files that made me like
the internet more...
see for yourself...
check this out...
one of the files is a virus...
can you tell me which one is it?
hehehe, i'm only joking...
your friend, paul..
Załączniki:
Chinese fuck.mpg (Movie.exe)
Amateur porn film.mpg (Movie.exe)
Jenna jameson clip.mpg (Movie.exe)
Lord of the rings clip.mpg (Movie.exe)
Fuck of the month.mpg (Movie.exe)
Britney exposed.mpg (Movie.exe)
Universe.scr (Screenxx.scr)
Solarsystem.scr (Screenxx.scr)
Shit.scr (Screenxx.scr)
Donald and minnie sex.scr (Screenxx.scr)
Baby dancing.scr (Screenxx.scr)
Kamasutra screensaver.scr (Screenxx.scr)
Credit card hacktool (File1980.com)
Windows xp ultimate crack (File1980.com)
Http:/ /www.meditation.com (File1980.com)
Patch1981.com (File1980.com)
Hack mirc server (File1980.com)
Disney.scr
Po uruchomieniu przez użytkownika pliku załącznika robak instaluje swoje kopie w systemie Windows w plikach (jeżeli istnieją, nadpisuje je własnym kodem): c:\windows\system\regsvr32.exe
c:\windows\desktop\win.exe
c:\windows\desktop\top secret\clickme.exe
c:\windows\sendto\oceans11\watchme.exe
c:\windows\favorites\a beautiful mind\watchme.exe
c:\windows\regedit.exe
c:\windows\scanregw.exe
c:\windows\tuneup.exe
c:\windows\rundll64.exe
c:\windows\windows.exe
c:\disney.scr
c:\file1980.com
c:\hacktool.co_
c:\movie.exe
c:\msmsgs.exe
c:\porno.scr
c:\screenxx.scr
c:\windows.exe
c:\windows.scr
c:\winstart.com
c:\program files\curlysoft\viewer.dll
c:\program files\curlysoft\pornview.exe
c:\program files\xxx files\clickme.exe
c:\windows\files\file***.***.exe (gdzie * to losowy numer)
c:\blank.html
W kolejnym etapie swego działania robak nadpisuje wszystkie pliki z rozszerzeniem scr tworząc swoje kopie oraz pliki z rozszerzeniami htm i html umieszczając w nich kod uruchamiający jedną z jego kopii. Następnie robak tworzy na dysku pliki c:\xxxmovie.xls, c:\xls.wps, c:\doc.wps, c:\nor.wps, c:\porno.doc, c:\xxxmovie.xls i c:\windows\newdocument.doc, których używa do nadpisywania wszystkich odnalezionych na dysku dokumentów Worda i arkuszy Excela. Otwarcie nadpisanych w ten sposób plików powoduje wysłanie ich kopii za pomocą poczty elektronicznej w liście o następujących parametrach:
Listy wysyłany z zainfekowanego dokumentu Worda:
Temat: Nice Embedded Object
Treść: Check out the embedded object in the word document...
Załącznik: [zainfekowany plik].doc
Listy wysyłany z zainfekowanego arkusza Excela:
Temat: Nice Embedded Object
Treść: Check out the embedded object in the excel sheet...
Załącznik: [zainfekowany plik].xls
Kolejny etap działania robaka polega na tworzeniu serii plików, wykorzystywanych między innymi do wykonania zmian w rejestrze systemu Windows, czego efektem jest uruchamianie kopii robaka zarówno przy starcie systemu Windows, jak i przy uruchamianiu/otwieraniu określonych rodzajów plików. Pliki te to: c:\v.vbs, c:\v.reg, c:\acs.acs, c:\windows\tmpdelis.bat. W poniższych kluczach rejestru dodawane są następujące wartości:
Rundll64 c:\windows\rundll64.exe
w kluczu
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update
C:\WINDOWS\Start Menu\Programs\Windows Update\file###.###.exe
Regedit C:\windows\regedit.exe
w kluczu
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
c:\windows\scanregw.exe
w kluczu
HKCR\mp3file\shell\open\command
c:\windows\system\regsvr32.exe
w kluczu
HKCR\VBSFile\Shell\Open\Command
c:\windows\tuneup.exe
w kluczu
HKCR\VBSFile\Shell\Open2\Command
c:\windows\system\regsvr32.exe
w kluczu
HKCR\mp3file\shell\play\command
c:\windows\scanregw.exe
w kluczu
HKCR\JSFile\Shell\Open\Command
c:\windows\tuneup.exe
w kluczu
HKCR\JSFile\Shell\Open2\Command
c:\recycled\alco.com
w kluczu
HKCR\txtfile\shell\open\command
Windows c:\windows\windows.exe
MSMSGS c:\msmsgs.exe
w kluczu
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Dodatkowo tworzone są również skróty na pulpicie, uruchamiające określone składniki i kopie robaka. Skróty te to: New Document.lnk uruchamia C:\Windows\NewDocument.doc.
Tips On How To Make Your Partner Wilder.lnk
uruchamia C:\Xxxmovie.xls.
Porn Viewer version 1.01.lnk. uruchamia
C:\Program Files\Curlysoft\Pornview.exe.
ExecuteMe.lnk. uruchamia C:\Windows\Rundll64.exe.
Mailme.lnk uruchamia plik odpowiedzialny za wysyłanie
maila do autora robaka
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, a także poprzez IRCa nadpisując skrypt startowy popularnego programu mIRC. Nadpisanie przez robaka plików systemowych powoduje wejście systemu w niekończącą się pętle, co zwykle objawia się jego zawieszeniem.

LOVELETTER.BD

Nowa wersja niesłynnego robaka LoveLetter.BD posiada wszystkie cechy poprzedników, a zwłaszcza szybkość rozprzestrzeniania się pocztą elektroniczną. Ponadto dodano także dodatkową funkcję polegającą na instalacji konia trojańskiego służącego do wykradania haseł z programu do obsługi kont bankowych przez internet jednego z banków szwajcarskich. Zwykle LoveLetter.BD pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o temacie Resume i pliku załącznika resume.txt.vbs. Po uruchomieniu pliku załącznika robak najpierw uruchamia Notatnik i wyświetla w nim tekst po niemiecku dotyczący poszukiwania przez firmę Internetową kandydata na pracownika. W tym czasie w tle działa procedura masowego rozsyłania się przy pomocy poczty elektronicznej do wszystkich użytkowników znajdujących się w książce adresowej programu Outlook. Ponadto LoveLetter.BD posiada dodatkową funkcję polegającą na instalacji konia trojańskiego. Koń trojański przegląda dysk w poszukiwaniu zainstalowanego oprogramowania UBS Pin używanego do bankowości elektronicznej w szwajcarskim banku UBS. Po odnalezieniu oprogramowania trojan przesyła pliki zawierające zaszyfrowane dane i hasła na konto pocztowe umieszczone na jednym z darmowych serwerów poczty elektronicznej.

NIMDA.A

Nimda.A jest robakiem internetowym, którego działanie polega na rozsyłaniu się pocztą elektroniczną oraz poprzez błędy w serwerze IIS. Do infekcji tym robakiem wystarczy przeczytanie wiadomości w niezabezpieczonym programie Microsoft Outlook lub Outlook Express. Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o pustej treści, bardzo długim niezrozumiałym temacie oraz z plikiem załącznika o nazwie readme.exe. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadmości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika. Po aktywacji robak tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF. Ponadto robak w systemach Windows NT/2000 dołącza własny wątek do aplikacji explorer.exe, a w systemach Windows 9x/Me rejestruje się jako usługa systemowa. Obie te akcje powodują, że działalność robaka jest niewidoczna dla użytkownika. Następnie robak wysyła się do adresatów, których adresy poczty elektronicznej pobiera z listów znajdujących się w programie pocztowym. Dodatkowo adresy pobierane są również z plików z rozszerzeniami htm i html znajdujących się na dysku lokalnym. Tak uzyskane adresy są wstawiane zarówno w polu From: i To: zatem listy z robakiem w polu nadawcy nie zawierają pradziwego adresu nadawcy. Alternatywna metoda infekcji to korzystanie z błędu w oprogramowaniu IIS zwanego Unicode Web Traversal, używanego również wcześniej przez robaka BlueCode. Możliwa jest też infekcja poprzez wejście na odpowiednio zmodyfikowaną przez robaka stronę na zainfekowanym serwerze. W tej sytuacji pobierany jest ze strony plik z rozszerzeniem eml zawierający kopię robaka. Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje pliki z rozszerzeniami eml i nws własną kopią, w katalogach lokalnych, które są udostępnione. Aby rozprzestrzeniać się poprzez sieć lokalną robak zmienia wartość następującego klucza w rejestrze HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$], czego efektem jest udostępnianie wszystkich dysków w sieci. Następnie robak przeszukuje sieć lokalną w poszukiwaniu udostępnionych katalogów, starając się infekować pliki z rozszerzeniami exe i nadpisując pliki z rozszerzeniami eml i nws.