Najgroźniejszy robak w czerwcu

Pojawił się robak internetowy, którego zdolność infekcji została określona jako średnia zarówno w stosunku do komputerów domowych jak i korporacyjnych. Wynika to ze szczegółowo obmyślanej architektury kodu. Jest to typ robaka rozsyłającego mas-maile. Próbuje on również propagować się poprzez sieci p2p. Kopiuje się do katalogu w systemie lokalnym zawierającym folder o nazwie "share" lub "upload". Nazwa pod jaką podszywa się robak to: Total Commander 7.0.exe lub winamp 7.0 full_install.exe

Intruz podmienia również binaria w personalnym firewall'u oraz antivirus'ie.

Robak odcina wszystkie procesy z następującymi stringami:

- regedit
- msconfig
- task

Główne symptomy to podwójne kopie w katalogu %windir%\system32 z użyciem przypadkowej nazwy z rozszerzeniem .EXE oraz .DLL

Przykład:

C:\WINNT\system32\jrbtgmqi.exe
C:\WINNT\system32\enfrbatm.dll

Wpis w rejestrze umożliwiający autostart to:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run"_Hazafibb" = %windir%\System32\jrbtgmqi.exe

Inne symptomy:

- Wadliwe działanie programów bezpieczeństwa
- Duży wzrost ruchu siecowego
- Spowolnienie systemu

Ten robak nie używa żadnych exploatacji znanych luk systemowych. Zainfekowanie odbywa się manualnie przez użytkownika. W maszynach gdzie intruz podmienił binarna AV lub firwewall'a istnieje duże prawdopodobieństwo, że użytkownik uruchomi kod przez przypadek.

Rozród poprzez SMTP:

Robak tworzy konstrukcje wiadomości używając własnych mechanizmów. Wyszukuje adresy mailowe na lokalnym dysku w plikach z rozszerzeniem: htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr

Zebrane żniwa są składowane w katalogu system32 przy użyciu przypadkowej nazwy pliku.

Przykłady:

C:\WINNT\system32\kenbdplk.dll
C:\WINNT\system32\zibscdes.dll
C:\WINNT\system32\qfafsxoz.dll
C:\WINNT\system32\zhzukrhp.dll
C:\WINNT\system32\sdxsuwxt.dll

Odnośnik do tych danych jest utworzony przez robaka pod następującym
kluczem rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

Co ciekawe, złośliwy kod unika wysyłania zatrutych wiadomości do adresów
z następującym ciągiem w nazwie: admi; cafee; gogle; help; hotm; Kasper; micro; MSN; panda; sopho; suppor; syma; trend; use; vir; webm; win; yahoo

Potrafi tworzyć wiadomości w różnych językach, co jest zależne od głównego poziomu domeny (TLD), uzyskanego w otrzymanych adresach. Na przykład użytkownik konta pocztowego z roszerzeniem .COM otrzyma anglojęzyczny list, z kolei ktoś z Niemiec (.DE) otrzyma list z treścią niemiecką. Poniżej znajdują się niektóre formaty. Linia "From" jest fałszywa.

Do: anita
Temat: Ingyen SMS!
Załącznik: "regiszt.php?3124freesms.index777.pif"
Ciało wiadomości:
------------------------ hirdet=E9s ----------------------------- A
sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul
az
ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott
sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is
SMST!
Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap
kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb
inform=E1ci=F3t a
www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

To: claudia
Subject: Importante!
Attachment: "link.informacion.phpV23.text.message.pif"
Body:
Informacion importante que debes conocer, -

To: katya
Subject: Katya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

To: eva
Subject: E-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"
Body:
Mit hjerte banker for dig!

To: marica
Subject: Ecard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"
Body:
De cand te-am cunoscut inima mea are un nou ritm!

To: anna
Subject: E-vykort!
Attachment: "link.vykort.showcard.index.phpBn23.pif"
Body:
Till min Alskade...

To: erica
Subject: E-Postkort!
Attachment: "link.postkort.showcard.index.phpAe67.pif"
Body:
Vakre roser jeg sammenligner med deg...

To: katarina
Subject: E-postikorti!
Attachment: "link.postikorti.showcard.index.phpGz42.pif"
Body:
Iloista kesaa!

To: magdolina
Subject: Atviruka!
Attachment: "link.atviruka.showcard.index.phpGz42.pif"
Body:
Linksmo gimtadieno! ha

To: beate
Subject: E-Kartki!
Attachment: "link.kartki.showcard.index.phpVg42.pif"
Body:
W Dniu imienin...

To:
Subject: Cartoe Virtuais!
Attachment: "link.cartoe.viewcard.index.phpYj39.pif"
Body:
Content: Te amo... ,

To: alice
Subject: Flashcard fuer Dich!
Attachment: "link.flashcard.de.viewcard34.php.2672aB.pif"
Body:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard
ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden
link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

To: eva
Subject: Er staat een eCard voor u klaar!
Attachment: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Body:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in
het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te
klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke
groet, De redactie taalsite primair onderwijs...

To: hanka
Subject: Elektronicka pohlednice!
Attachment: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Body:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

To: claudine
Subject: E-carte!
Attachment: "link.zdnet.fr.ecarte.index.php34b31.pif"
Body:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,
l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5
minutes,
du dialogue en direct...

To: francesca
Subject: Ti e stata inviata una Cartolina Virtuale!
Attachment: "link.cartoline.it.viewcard.index.4g345a.pif"
Body:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una
cartolina
virtuale per te! Per vederla devi fare click sul link sottostante:
http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina
sara
visibile sui nostri server per 2 giorni e poi verra rimossa
automaticamente.

To: jennifer
Subject: You`ve got 1 VoiceMessage!
Attachment: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Body:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website!
Sender: You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv or by clicking
the
attached link. Send VoiceMessage! Try our new virtual VoiceMessage
Empire!
Best regards: SNAF.Team (R).

To: anita
Subject: Tessek mosolyogni!!!
Attachment: "meztelen csajok fociznak.flash.jpg.pif"
Body:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

To: anita
Subject: Soxor Csok!
Attachment: "anita.image043.jpg.pif"
Body:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem
tetszem,
=E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is
cs=F3k: )l@

To: jennifer
Subject: Don`t worry, be happy!
Attachment: "www.ecard.com.funny.picture.index.nude.php356.pif"
Body:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the
picture) Bye - Bye:

To: david
Subject: Check this out kid!!!
Attachment: "jennifer the wild girl xxx07.jpg.pif"
Body:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya


Klasyfikacja:

W32/Zali.b@MM (Network associates)
I-Worm.Zafi.b (Kaspersky)
PE_ZAFI.B (Trend)
W32.Erkez.B@mm (Symantec)
Win32.Hazafi.30720 (Dialogue Science)

Źródło: Network Associates