Технические детали


Этот сетевой червь распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет досупных IP-адресов.

Будучи запущеным (пользователем либо автоматически - из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог "Fonts"). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от "Fonts" и "Startup", он завершает работу имитируя системную ошибку сообщением:
ERROR
FILE I/O ERROR

Если же червь был запущен из каталога "Fonts" (при старте Windows), он запускает процедуру распространения.

Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение ".vbs". Таким образом настоящее расширение файла ".vbs" спрятано пробелами и не отображается в проводнике.

После сканирования дисков червь начинает сканировать сеть. Он случайным образом выбирает IP адрес, если он недоступен выбирается следующий адрес. Если же адрес доступен (отвечает), то червь копирует на него свою копию.

Если при сканировании дисков червь нашел каталог в имени которого содержится строка "mirc", он создает файл SCRIPT.INI. Скрипт-программа в этом файле автоматически выполняется при запуске MIRC-клиента. Скрипт записанный червем сканирует сеть аналогично тому, как описано выше. Если он находит доступный IP адрес, на него посылается копия червя.

В одном случае из тысячи червь (в зависимости от счетчика случайных чисел) изменяет стартовую страницу Internet Explorer'a на "http://www.zonelabs.com/"

Технические детали

Этот вирус написан на языке Visual Basic Script (VBS). При запуске вирус копирует себя в C:\SysPatch.vbs и регистрирует запуск этого файла в области автозагрузки системного реестра.

Далее вирус ищет на всех доступных дисках файлы с расширением "VBS" и перезаписывает найденные файлы своим кодом при этом уничтожая оригинальное содержимое файлов.

Вирус содержит строки-"копирайты":
Worm name is: VBS.Infektor
Author is: ACIdCooKie
VxBioLabs / Specie and ACIdCooKie

Технические детали


Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, Windows2000 он установлен по умолчанию).

Червь распространяется в электронных письмах с прикрепленным VBS-файлом "www.symantec.com.vbs", который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема = "FW: Symantec Anti-Virus Warning"
Текст =
----- Original Message -----
From: [warning@symantec.com]
To: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Subject: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!

Symantec has first noticed it on April 04, 2001.

The attached file is a description of the worm and how it replicates itself.

With regards,
F. Jones
Symantec senior developer

Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе "VBS.AmericanHistoryX_II@mm". На самом деле такого вируса не существует.

Затем червь создает несколько файлов:

Первый файл с именем "c:\www.symantec_send.vbs" содержит скрипт на языке Visual Basic Script, который отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows.

Второй файл, "c:\message.vbs", содержит скрипт, который 24-го ноября выводит сообщение:
Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!

Оба этих файла червь прописывает в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows.

Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.

Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ "HKLM\SOFTWARE\Microsoft\WAB\OE Done" и записывает в него значение "Hardhead_SatanikChild".

Технические детали

Один из редких представителей семейства макро-вирусов, которые для своего внедрения в таблицы Excel используют не обычную для вирусов область макросов, а формулы.

Обнаружить такой вирус обычными способами (просмотр макросов) невозможно, поскольку вирус объявляет свой модуль "крайне скрытым" (VeryHidden) - такое свойство модуля не может быть отменено из меню Excel.

Заражает таблицы MS Excel при их открытии и закрытии.

Реализован в виде одного макроса с двумя функциями - "Auto_Close" и "Auto_Open". Содержит несколько переменных:
_Fill
Bust
Continue
Document_array
Documents_array
Hello
MakeIt
Morning
TaxTV
TaxXL
Test5
Создает в зараженных таблицах скрытый лист XL4Test5, в котором хранит свой код. Также создает в каталоге автозапуска Excel зараженный файл Book1.

Технические детали


JS.Forthnight - это интернет-червь, распространяющий в письмах ссылку на свое тело, размещенное на Web-сайте.

Зараженные сообщения содержат скрытый линк на Web-страницу с червем. Когда пользователь открывает сообщение, линк загружает код червя в скрытом фрейме.

Сам код червя использует уязвимость "Microsoft VM ActiveX vulnerability". Именно использование этой уязвимости позволяет запускаться удаленному коду червя на локальном компьютере.

(Подробности об этой уязвимости и патч доступны на http://www.microsoft.com/technet/security/bulletin/ms00-075.asp)

Для пометки заражения компьютера червь использует cookie с именем "TF". Если эта cookie не обнаружена червем, он изменяет стартовую страницу Internet Explorer на страницу, содержащую порнографию.

Затем червь копирует стандартную подпись Outlook Express 5.0 в файл "C:\Program Files\sign.htm" и добавляет в нее ссылку на сайт со своим телом. После этого все письма, отправленные с зараженного компьютера, содержат данную ссылку.

Червь добавляет три линка в "Избранное" браузера:
"SEXXX. Totaly Teen"
"Make BIG Money"
"6544 Search Engines Submission",

по окончании своей работы червь устанавливает два файла cookie для пометки заражения компьютера.

Сайт, содержащий код червя, был заблокирован сразу после появления червя и в данный момент не функционирует.

BAT.Zeke.324

Безобидный нерезидентный компаньон-вирус. Является BAT-файлом. Получил название по имени своей переменной "zeke". При запуске ищет .EXE-файлы, переименовывает их в *.DSS и создает компаньон-BAT-файлы с тем же именем. Ищет .EXE-файлы в текущем и родительском каталогах текущего диска и дисков C и D.


BAT.Zeke.ZIP

Использует такой же прием, что и "BA

Технические детали

Скрипт-вирусы на BAT языке. Дописывают себя к файлам *.bat в подкаталогах текущего диска и корневых каталогах дисков C: и D:. Содержат строки комментариев:
REM Bat.Achilles.a
REM by sulfurke

REM Bat.Achilles.b
REM by sulfurke

REM Bat.Achilles.c
REM by sulfurke



Проявления

Вирусы создают текстовый файл с именем c:\achilles.txt или a:\achilles.txt.

Содержимое файла:
She looked over his shoulder
For vines and olive trees,
Marble well-governed cities
And ships upon untamed seas,
But there on the shining metal
His hands had put instead
An artificial wilderness
And a sky like lead.
... and so ever man had an achilles' heel [Sulfurke]

Технические детали


Неопасный скрипт вирус. Написан на скрипт языке BATCH для ДОС. Размер вируса около 3Кб. Ищет .BAT файлы в текущем и системных каталогах и записывается в их конец. Дописывает к системным файлам строки текста:

Soy el virus SAKURA. Soy esa guarra a la que llaman la cazadora de cartas.
Soy una puta asquerosa y voy a destruir muchos ordenadores de todo el mundo.
SAKURA

Удаляет .DOC файлы в каталоге C:\WINDOWS\. Удаляет все файлы в каталогах C:\ARCHIV~1\NAPSTER и C:\ANTVIRUS

Технические детали

Скрипт вирус на BAT языке. Копирует себя под различными именами в каталоги на диске C: и перезаписывает собой файлы BAT.

Вирус копирует себя в BAT файлы. Список имен файлов:
Lonely Girls For Your Pleasure.url.bat
Lolita blows it.jpg.bat
Sex, Money and Power.doc.bat
Warcraft 3 update.exe.bat
Windows Update.exe.bat
Вирус создает новый каталог и копирует себя в файл:
%windir%\system\ioana\ioana.bat
Вирус перезаписывает собой все BAT файлы в каталоге %windir%\desktop\.



Проявления

Программа содержит строки текста:
no fake bytes or EICAR string
Generated by Dangerous Menu [DvL]
no mouse and keyboard payloads
no retro
no payloads
no Outlook Express spreading
no mIRC spreading
no pIRCh spreading
no vIRC spreading
no Kazaa spreading
no PIF dropping
no LNK dropping

Технические детали


Опасный нерезидентный BAT-вирус. При запуске ищет .BAT-файлы в текущем и родительском каталогах и записывается в их конец. Заражает файлы способом, напоминающим стандартный способ заражения COM-файлов: записывает себя в конец файла, а в его начало помещает команду перехода на код вируса. В результате зараженные файлы выглядят примерно следующим образом:
+---------------+
|@echo off | Команды перехода на код вируса
+------|goto HotToTrot3|
|+---->|:To |
|| |---------------| Команды зараженного BAT-файла
|| |... |
|| |... |
|| |... |
|| |---------------|
||+----|goto Trot3 | Переход на конец файла (выход в DOS)
||| |---------------|
+----->|:HotToTrot3 | Основной код вируса
|| |... |
|| |... |
+-----|goto To | Возврат управления программе-носителю
+--->|Trot3: | Возврат в DOS
+---------------+

При заражении файлов вирус использует DOS-функции (INT 21h). Для этого вирус создает и запускает два временных COM-файла: записывает на диск шестнадцатеричный код этих COM-файлов и конвертирует его в binary-код утилитой DEBUG. Если DEBUG отсутствует в PATH, вирус портит файлы.