Этот сетевой червь распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет досупных IP-адресов.
Будучи запущеным (пользователем либо автоматически - из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог "Fonts"). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от "Fonts" и "Startup", он завершает работу имитируя системную ошибку сообщением: ERROR FILE I/O ERROR
Если же червь был запущен из каталога "Fonts" (при старте Windows), он запускает процедуру распространения.
Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение ".vbs". Таким образом настоящее расширение файла ".vbs" спрятано пробелами и не отображается в проводнике.
После сканирования дисков червь начинает сканировать сеть. Он случайным образом выбирает IP адрес, если он недоступен выбирается следующий адрес. Если же адрес доступен (отвечает), то червь копирует на него свою копию.
Если при сканировании дисков червь нашел каталог в имени которого содержится строка "mirc", он создает файл SCRIPT.INI. Скрипт-программа в этом файле автоматически выполняется при запуске MIRC-клиента. Скрипт записанный червем сканирует сеть аналогично тому, как описано выше. Если он находит доступный IP адрес, на него посылается копия червя.
В одном случае из тысячи червь (в зависимости от счетчика случайных чисел) изменяет стартовую страницу Internet Explorer'a на "http://www.zonelabs.com/"
Этот вирус написан на языке Visual Basic Script (VBS). При запуске вирус копирует себя в C:\SysPatch.vbs и регистрирует запуск этого файла в области автозагрузки системного реестра.
Далее вирус ищет на всех доступных дисках файлы с расширением "VBS" и перезаписывает найденные файлы своим кодом при этом уничтожая оригинальное содержимое файлов.
Вирус содержит строки-"копирайты": Worm name is: VBS.Infektor Author is: ACIdCooKie VxBioLabs / Specie and ACIdCooKie
Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результет пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, Windows2000 он установлен по умолчанию).
Червь распространяется в электронных письмах с прикрепленным VBS-файлом "www.symantec.com.vbs", который, собственно, и является телом червя. Письмо имеет следующие характеристики: Тема = "FW: Symantec Anti-Virus Warning" Текст = ----- Original Message ----- From: [warning@symantec.com] To: [supervisor@av.net]; [security@softtools.com]; [mark_fyston@storess.net]; [directorcut@ufp.com]; [pjeterov@goldenhit.org]; [kim_di_yung@freeland.ch]; [james.heart@macrosoft.com] Subject: FW: Symantec Anti-Virus Warning
Hello,
There is a new worm on the Net. This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how it replicates itself.
With regards, F. Jones Symantec senior developer
Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе "VBS.AmericanHistoryX_II@mm". На самом деле такого вируса не существует.
Затем червь создает несколько файлов:
Первый файл с именем "c:\www.symantec_send.vbs" содержит скрипт на языке Visual Basic Script, который отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows.
Второй файл, "c:\message.vbs", содержит скрипт, который 24-го ноября выводит сообщение: Some shocking news Don't look surprised! It is only a warning about your stupidity Take care!
Оба этих файла червь прописывает в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows.
Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.
Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ "HKLM\SOFTWARE\Microsoft\WAB\OE Done" и записывает в него значение "Hardhead_SatanikChild".
Один из редких представителей семейства макро-вирусов, которые для своего внедрения в таблицы Excel используют не обычную для вирусов область макросов, а формулы.
Обнаружить такой вирус обычными способами (просмотр макросов) невозможно, поскольку вирус объявляет свой модуль "крайне скрытым" (VeryHidden) - такое свойство модуля не может быть отменено из меню Excel.
Заражает таблицы MS Excel при их открытии и закрытии.
Реализован в виде одного макроса с двумя функциями - "Auto_Close" и "Auto_Open". Содержит несколько переменных: _Fill Bust Continue Document_array Documents_array Hello MakeIt Morning TaxTV TaxXL Test5 Создает в зараженных таблицах скрытый лист XL4Test5, в котором хранит свой код. Также создает в каталоге автозапуска Excel зараженный файл Book1.
JS.Forthnight - это интернет-червь, распространяющий в письмах ссылку на свое тело, размещенное на Web-сайте.
Зараженные сообщения содержат скрытый линк на Web-страницу с червем. Когда пользователь открывает сообщение, линк загружает код червя в скрытом фрейме.
Сам код червя использует уязвимость "Microsoft VM ActiveX vulnerability". Именно использование этой уязвимости позволяет запускаться удаленному коду червя на локальном компьютере.
(Подробности об этой уязвимости и патч доступны на http://www.microsoft.com/technet/security/bulletin/ms00-075.asp)
Для пометки заражения компьютера червь использует cookie с именем "TF". Если эта cookie не обнаружена червем, он изменяет стартовую страницу Internet Explorer на страницу, содержащую порнографию.
Затем червь копирует стандартную подпись Outlook Express 5.0 в файл "C:\Program Files\sign.htm" и добавляет в нее ссылку на сайт со своим телом. После этого все письма, отправленные с зараженного компьютера, содержат данную ссылку.
Червь добавляет три линка в "Избранное" браузера: "SEXXX. Totaly Teen" "Make BIG Money" "6544 Search Engines Submission",
по окончании своей работы червь устанавливает два файла cookie для пометки заражения компьютера.
Сайт, содержащий код червя, был заблокирован сразу после появления червя и в данный момент не функционирует.
Безобидный нерезидентный компаньон-вирус. Является BAT-файлом. Получил название по имени своей переменной "zeke". При запуске ищет .EXE-файлы, переименовывает их в *.DSS и создает компаньон-BAT-файлы с тем же именем. Ищет .EXE-файлы в текущем и родительском каталогах текущего диска и дисков C и D.
Скрипт-вирусы на BAT языке. Дописывают себя к файлам *.bat в подкаталогах текущего диска и корневых каталогах дисков C: и D:. Содержат строки комментариев: REM Bat.Achilles.a REM by sulfurke
REM Bat.Achilles.b REM by sulfurke
REM Bat.Achilles.c REM by sulfurke
Проявления
Вирусы создают текстовый файл с именем c:\achilles.txt или a:\achilles.txt.
Содержимое файла: She looked over his shoulder For vines and olive trees, Marble well-governed cities And ships upon untamed seas, But there on the shining metal His hands had put instead An artificial wilderness And a sky like lead. ... and so ever man had an achilles' heel [Sulfurke]
Неопасный скрипт вирус. Написан на скрипт языке BATCH для ДОС. Размер вируса около 3Кб. Ищет .BAT файлы в текущем и системных каталогах и записывается в их конец. Дописывает к системным файлам строки текста:
Soy el virus SAKURA. Soy esa guarra a la que llaman la cazadora de cartas. Soy una puta asquerosa y voy a destruir muchos ordenadores de todo el mundo. SAKURA
Удаляет .DOC файлы в каталоге C:\WINDOWS\. Удаляет все файлы в каталогах C:\ARCHIV~1\NAPSTER и C:\ANTVIRUS
Скрипт вирус на BAT языке. Копирует себя под различными именами в каталоги на диске C: и перезаписывает собой файлы BAT.
Вирус копирует себя в BAT файлы. Список имен файлов: Lonely Girls For Your Pleasure.url.bat Lolita blows it.jpg.bat Sex, Money and Power.doc.bat Warcraft 3 update.exe.bat Windows Update.exe.bat Вирус создает новый каталог и копирует себя в файл: %windir%\system\ioana\ioana.bat Вирус перезаписывает собой все BAT файлы в каталоге %windir%\desktop\.
Проявления
Программа содержит строки текста: no fake bytes or EICAR string Generated by Dangerous Menu [DvL] no mouse and keyboard payloads no retro no payloads no Outlook Express spreading no mIRC spreading no pIRCh spreading no vIRC spreading no Kazaa spreading no PIF dropping no LNK dropping
Опасный нерезидентный BAT-вирус. При запуске ищет .BAT-файлы в текущем и родительском каталогах и записывается в их конец. Заражает файлы способом, напоминающим стандартный способ заражения COM-файлов: записывает себя в конец файла, а в его начало помещает команду перехода на код вируса. В результате зараженные файлы выглядят примерно следующим образом: +---------------+ |@echo off | Команды перехода на код вируса +------|goto HotToTrot3| |+---->|:To | || |---------------| Команды зараженного BAT-файла || |... | || |... | || |... | || |---------------| ||+----|goto Trot3 | Переход на конец файла (выход в DOS) ||| |---------------| +----->|:HotToTrot3 | Основной код вируса || |... | || |... | +-----|goto To | Возврат управления программе-носителю +--->|Trot3: | Возврат в DOS +---------------+
При заражении файлов вирус использует DOS-функции (INT 21h). Для этого вирус создает и запускает два временных COM-файла: записывает на диск шестнадцатеричный код этих COM-файлов и конвертирует его в binary-код утилитой DEBUG. Если DEBUG отсутствует в PATH, вирус портит файлы.
Неопасный вирус-червь. Записывает себя в BAT-файлы в архивы формата ARJ и системные драйвера. Нерезидентен (т.е. не содержит резидентного кода, который заражает файлы), но если вирус загружен в память как системный драйвер, то перехватывает INT 8, 21h и остается резидентно в памяти. Код вируса содержит две части. Первая часть является текстовыми строками, которые выполняются при запуске вируса как BAT-файла, вторая часть содержит двоичный код, выполняемый при запуске вируса как COM-файла или системного драйвера. Текстовая часть вируса выглядит следующим образом (метки являются также командами передачи управления, если вирус запущен как двоичный выполняемый файл): ::pFqD @ctty nul copy/b %0.bat+%0 c:\q.com dir \*.arj/s/b|c:\q.com/i :qlpj if errorlevel 1 goto qWpU ren c:\q.com UMKQYGWK.5KA echo INSTALLHIGH=C:\UMKQYGWK.5KA>>c:\config.sys :qWpU for %%a in (%0 %0.bat) do if exist %%a set q=%%a del c:\q.com ctty con @del %q%
При запуске такого кода из BAT-файла вирус копирует себя в файл C:\Q.COM (третья строка). Этот файл является "дроппером" вируса, используемым для заражения других файлов. Затем вирус запускает команду DIR, которая ищет в каталогах текущего диска ARJ-архивы и передает их имена файлу Q.COM (4-я строка). Файл Q.COM заражает обнаруженные архивы, затем детектирует резидентную копию вируса и возвращает Errorlevel 1, если таковой код обнаружен. Если память не заражена (т.е. вирус не был запущен как системный драйвер), то вирус переименовывает файл Q.COM в UMKQYGWK.5KA и добавляет к файлу CONFIG.SYS строку: INSTALLHIGH=C:\UMKQYGWK.5KA
В результате вирус добавляет себя к списку системных драйверов, и код вируса будет получать управление при загрузке DOS. Затем вирус уничтожает файл Q.COM и свой файл-носитель (BAT-файл, из которого был запущен вирус). При запуске в виде COM-файла (см. третью строку) вирус получает имя ARJ-архива из STDIN, проверяет архив и дописывает к архиву блок данных в формате ARJ. Этот блок является неупакованным (метод "store") файлом /WINSTART.BAT, который содержит код вируса. При запуске в виде двоичного исполняемого файла текстовые строки выполняются как обычные команды ассемблера, и вирус передает управление на свой код несколькими командами JMP: 0100 3A 3A CMP BH,[BP+SI] ; text: ::pFqD 0102 70 46 JO Jmp_a 0104 71 44 JNO Jmp_a .... . . . . . 0149 3A DB 3Ah ; text: :qlpj 014A Jmp_a: 014A 71 6C JNO Jmp_b 014C 70 6A JO Jmp_b .... . . . . . 01B7 3A DB 3Ah ; text: :qWpU 01B8 Jmp_b: 01B8 71 57 JNO Main_Code 01BA 70 55 JO Main_Code .... . . . . . 0211 Main_Code: .... . . . . .
Получив управление, двоичный код вируса определяет, был ли запущен вирус как COM-файл (в командной строке есть аргумент "/i") или как системный драйвер (аргументы отсутствуют). Если вирус запущен как системный драйвер, то он перехватывает INT 8, 21h и остается резидентно в памяти при помощи DOS-вызова Keep (INT 21h, AH=31h). Если компьютер работает не под Windows 3.x, то обработчик INT 8 через некоторое время перезагружает компьютер. Обработчик INT 21h перехватывает два вызова. Первый является командой "AreYouHere?" (AX=FEFEh), по которой вирус определяет свою резидентную копию. Второй вызов является командой GetFileAttribute. Вирус блокирует этот вызов, если обращение идет к файлу с именем, начинающимся на "/W". Не очень понятно, зачем это нужно, видимо, вирус таким образом блокирует какие-то действия ARJ.EXE при распаковке файлов /WINSTART.BAT (дроппера вируса). При запуске в виде двоичного файла без агрументов вирус также ставит у своего файла атрибуты Hidden и ReadOnly. Вирус проверяет COM-порты и в некоторых случаях инициализирует порт модема и выводит туда строки: ATL0M0A HIGHJAQ on COMx:38400,N,8,1
где COMx является номером порта модема. Затем вирус перехватывает INT 8 и запускает файл C:\COMMAND.COM с параметрами: C:\ COM1 /E:1024/P/F
Перехватчик INT 8 в данном случае перезагружает компьютер, если обнаруживает, что бит Carrier Detect в соответствующем порте равен единице.
Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.
Также создает и запускает временный COM-файл (для того чтобы иметь доступ к DOS-функциям INT 21h).
Содержит строки: "BATalia v 1.0" Written by Int O`Dream at 04.11.95 (Original algoritm) BAT.Batalia2 Безобидный нерезидентный BAT-вирус. Ищет BAT-файлы в текущем каталоге и записывается в их конец. При заражении создает несколько временных файлов и записывает в них необходимые данные.
Содержит строки: BATalia2 BAT.Batalia3 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem YYY arj x %0 -gооbеpс >nul ren p Int call i ren Int a.bat echo on @call a @echo off del i.bat del a.bat del BATalia3 Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительные файлы: P, BATALIA3 BATALIA3 содержит вспомогательные данные вируса, файл P содержит код файла-носителя.
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и BATALIA3 из архива и запускают I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Пакует заражаемый файл в архив и результат записывает вместо заражаемого файла, т.е. при заражении может уменьшать размер файлов. BAT.Batalia4 Безобидный нерезидентный BAT-вирус. При запуске ищет BAT-файлы в текущем каталоге и заражает их. При заражении файлов использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Вирус состоит из двух частей. Первая часть (заголовок) содержит команды DOS: @echo off rem BAT4 arj x %0 >nul call i del sg del i.bat Вторая часть является архивом ARJ, содержащим файл I.BAT (основной код вируса) и дополнительный файл SG, который содержит вспомогательные данные вируса.
Таким образом, зараженный BAT-файл содержит текстовые строки (batch-команды) и двоичные данные (архив ARJ).
При запуске вирус распаковывает файлы I.BAT и SG из архива и запускает I.BAT, который затем ищет BAT-файлы в текущем каталоге и заражает их.
Дописывает свой код (6 batch-команд и ARJ-архив) в конец файла. BAT.Batalia6 Безобидный нерезидентный полиморфный BAT-вирус. При запуске ищет BAT-файлы и заражает их. При заражении файлов вирус использует архиватор ARJ, поэтому способен размножаться только в том случае, когда ARJ.EXE присутствует в PATH.
Зараженный файл состоит из двух частей. Первая часть (заголовок) содержит пять команд DOS (см. ниже). Вторая часть содержит BAT-файл со случайным именем, упакованный архиватором ARJ. Таким образом, вирус содержит строки текста (команды DOS) и данные (архив ARJ).
BAT-файл из ARJ-архива в свою очередь содержит команды DOS и еще один ARJ-архив. Команды DOS этого BAT-файла являются основным кодом вируса, который вызывает процедуры поиска файлов, заражения и генерации полиморфик-кода. ARJ-архив содержит несколько файлов: файл-носитель, дополнительный код и данные вируса.
В результате зараженный файл выглядит как архив в архиве: +--------------------+ |BAT-команды | - "заголовок-1", startup-код |--------------------| | ARJ-архив: | - содержит BAT-файл со случайным именем | +----------------+ | | |BAT-команды | | - "заголовок-2", основной код вируса | |----------------| | | | ARJ-архив: | | - содержит набор файлов: | | +------------+ | | | | |BATALIA6.BAT| | | - процедуры поиска и заражения, полиморфик-генератор | | |hostfile.BAT| | | - файл-носитель | | |ZAGL | | | - данные вируса | | |RULZ | | | - данные вируса | | |FINAL.BAT | | | - процедура уничтожения временных файлов | | +------------+ | | | +----------------+ | +--------------------+ "Заголовок-1" содержит пять команд, которые при заражении выбираются из нескольких вариантов и имеют различные длины, например: @echo off rem arj e %0 %compec% -g5 C:\COMMAND.COM nul /carj x %0 -g2 :nul arj x %0 -g7 C:\COMMAND.COM w HOST.BAT @EcHo OfF rem COMMAND.COM nul /carj x %0 -g1 %comspec% nul /c arj e HOST.BAT -g3 :echo C:\COMMAND.COM nul /carj x %0 i HOST.BAT ARJ-архив зашифрован со случайным паролем, поэтому вирус практически не содержит постоянных байт и является первым известным полиморфным BAT-вирусом. При запуске вирус ("заголовок-1") запускает архиватор ARJ, распаковывает свою вторую часть (BAT-файл) и запускает её. Код второй части создает временный подкаталог, в который распаковывает файлы из второго архива, выполняет процедуры поиска и заражения файлов, затем запускает файл-носитель и уничтожает временные файлы и подкаталог. Код вируса содержит только текстовые строки, среди которых присутствуют комментарии: : Death Virii Crew & Stealth Group World Wide : P R E S E N T S : First Mutation Engine for BAT ! : Without ASM ! : [BATalia6] & FMEB (c) by Reminder
: // ## # : +-------- /// ------+ ### Magazine # for VirMakers : |+++-++- // // -+-+++| ### ################ # ################### # ######## : |++ | | ///// | | ||| ## ### ### ### ### ### ### ### # # ### # ### ### : |++ - + ///// ++- ++| # # # ## ## # # ## # # # # # # # # # : +------ // // -------+ # # # # ### ### # ### ### ## ### # ### #### : GROUP // // WORLDWIDE # ################# ############################### : : Box 10, Kiev 252148 : Box 15, Moscow 125080 : Box 11, Lutsk 263020 : : R E A D I N F E C T E D V O I C E : : (c) by Reminder (May 22, 1996)
Скрипт вирусы на BAT языке. Копируют себя в каталоги на диске С.
BAT.CopyToC.a
Размер файла 552 байта. При первом запуске вирус создает в каталоге Windows файл 1.sys. Затем вирус копирует себя в корневой каталог диска C: под именем AllTheBat.bat. Вирус устанавливает ключ автозапуска системного реестра для активации при старте системы. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AllTheBat"="c:\\AllTheBat.bat" Для этого он создает вспомогательный файл C:\AllTheBat.reg. При последующих запусках вирус переименовывает все файлы в текущем каталоге - добавляет к имени файла строку ".bat". Вирус пытается скопировать себя в файл на диске A:. Имя файла A:\readme.txt.bat.
BAT.CopyToC.b
Размер файла 1262 байта. Вирус пытается копировать себя под различными именами в каталоги на диске C:. Имена файлов с копиями вируса: c:\Gunslinger.bat c:\progra~1\msnmes~1\Gunslinger.bat c:\progra~1\msnmes~1\1043\data.bat C:\progra~1\window~1\Gunslinger.bat c:\progra~1\window~1\skins\data.bat c:\progra~1\window~1\Visual~1\user.bat c:\progra~1\intern\Gunslinger.bat c:\progra~1\intern\plugins\data.bat c:\progra~1\intern\signup\user.bat c:\progra~1\intern\w2k\cpu.bat
Проявления
Вирус удаляет исполняемые файлы в каталогах "C:\progra~1" и "c:\windows".
BAT.CopyToC.c
Размер файла 825 байт. Вирус копирует себя в другие файлы на диске C.
