Win32.Badtrans.B@mm

Win32.Badtrans.B@mm

Nume: Win32.Badtrans.B@mm
Alias: I-Worm.BadtransII (KAV) Win32/Badtrans.B@mm (RAV)
Tip: Executable Mass Mailer
Lungime de cod: ~29Kbytes
Descoperit: 11-25-2001
Detectat: 11-26-2001 12:00 (GMT+2)
Raspandire: Medie
Periculozitate: Scazuta
ITW: Da

Simptome:
In directorul Windows System apar urmatoarele fisiere:
- Kernel32.exe
- Cp_25389.NLS
- KDLL.DLL
- PROTOCOL.DLL (apare dupa ce s-au trimis mesajele infectate)

Descriere Tehnica:
Virusul vine printr-un mesaj mail din partea unei persoane infectate sau cuiva din lista de adrese de mai jos:

From:
- " Anna" [email protected]
- "JUDY" [email protected]
- "Rita Tulliani" [email protected]
- "Tina" [email protected]
- "Kelly Andersen" [email protected]
- " Andy" [email protected]
- "Linda" [email protected]
- "Mon S" [email protected]
- "Joanna" [email protected]
- "JESSICA BENAVIDES" [email protected]
- " Administrator" [email protected]
- " Admin" [email protected]
- "Support" [email protected]
- "Monika Prado" [email protected]
- "Mary L. Adams" [email protected]

Subject:
Fara subiect, sau RE: sau RE: <original subject>

Body:
Corpul mesajului este gol.

Attachment:
Atasamentul este format din urmatoarele cuvinte:
fun, Humor, docs, info, Sorry_about_yesterday, Me_nude Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README images, Pics

extensia atasamentului poate fi una din combinatiile
.MP3. .DOC. .ZIP. cu .scr .pif sau doar .scr sau .pif

Viermele se raspandeste folosind vulnerabilitatea IFRAME si se va executa cand Outlook Express va face preview-u 323u2012d l mesajului. Utilizatorii care au patch-urile la zi nu se vor infecta decat daca vor executa atasamentul.

Puteti gasii o descriere a patch-ului pentru vulnerabilitatea IFRAME la adresa:

https://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Dupa ce se executa, viermele se va copia in directorul Windows sub numele de Kernel32.exe si va copia fisierul Kdll.dll la aceeasi locatie.
Pentru a se asigura ca va fi executat la pornirea calculatorului va adauga urmatoarele chei in registrii:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32 with cu valoarea kernel32.exe
Apoi se va sterge singur din locatia respectiva de unde s-a executat si va aduna informatii despre utilizator (numele utilizatorului, numele computerului, informatie RAS, parole, etc..) pe care le va trimite la adresa: [email protected]

Viermele are doua metode de a se raspandi prin e-mail:
- Cauta in fisierele de internet cache *ht*, *.asp
- Ia adresele de mail prin functiile MAPI din mailurile primite de utilizatorul infectat.
Nu se va trimite de doua ori la aceeasi adresa din cauza ca va sti ce adrese a folosit in %SYSTEM%\PROTOCOL.DLL.

Dezinfectie:

Nu se recomanda dezinfectia manuala.
Recomandarea este de a scana sistemul cu BitDefender si a selecta optiunea de stergere automata a fisierelor infectate.

I-Worm.Sircam.A

Nume: I-Worm.Sircam.A
Alias: W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
Tip: Win32 worm
Risc: mediu
In the Wild: DA

Observatii:

Inainte de utilizarea tool-ului de dezinfectare pentru I-Worm.Sircam este obligatoriu ca toate calculatoarele sa fie scoase din retea si ulterior sa fie reconectate doar dupa eradicarea definitiva a infectiei. Acest lucru este necesar datorita capabilitatii virusului de a se raspandi in retea, dezinfectarea devenind inutila deoarece reinfectarea din retea este iminenta.

Descarca acum antidotul!

ATENTIE! In cazul in care infectia cu I-Worm.Sircam a dus la imposibilitatea rularii fisierelor executabile si primiti urmatorul mesaj de eroare: "Cannot find file Recycled\sircam.exe (or one of its components) Make sure the path and filename are correct and that all required libraries are available.", rulati tool-ul exerep.reg

Descriere:

I-Worm.Sircam.A este un vierme de internet si retea asemanator cu I-Worm.Magistr.A 
Virusul se raspandeste prin e-mail folosind propria sa rutina SMTP, trimitandu-se la adresele din Address Book si cele din cache sau prin directoarele shared din retea.
El vine printr-un mesaj cu un subiect si corp ales la intamplare atasamentul fiind un amestec intre rutina de infectie a virusului si un fisier ales la intamplare din My Documents. Numele original al fisierului se pastreaza, dar se adauga o extensie executabila (.pif; .exe; .lnk).
Utilizatorii care nu au activata optiunea de vizualizare a extensiei atasamentelor vor vedea doar extensia originala si pot fi usor pacaliti.

Actiuni distructive:

Trimite la intamplare, ca atasament la codul viral, unul din documentele de pe sistemul infectat la adresele dfe e-mail din Address Book.
2. La intamplare, in unul din 20 de cazuri, sterge toate fisierele si directoarele de pe directorul radacina C:\. Acest lucru se intampla in ziua de 16 Octombrie a fiecarui an, pe sistemele care utilizeaza pentru data formatul: D/M/Y. Daca fisierul atasat contine "FA2" fara sa fie urmat de "sc", atunci aceasta actiune distructiva se intampla oricum.
3. Reduce performantele sistemului in unul din 50 de cazuri, inmultindu-se pe directorul C:\ printr-un fisier text c:\recycled\sircam.sys.
4. Trimite informatii confidentiale: poate alege unul din documentele Dvs. confidentiale ca atasament pentru codul viral.

Mesajul e-mail-ului are urmatoarea forma:

Subject: Document file name (without extension)
From: [[email protected]]
To: [[email protected]]

Hi! How are you?

I send you this file in order to have your advice

sau: I hope you can help me with this file that I send
       I hope you like the file that I send you
       This is the file with the information that you ask for

See you later! Thanks

sau, in limba spaniola:

Subject: Document file name (without extension)
From: [[email protected]]
To: [[email protected]]

Hola como estas ?

Te mando este archivo para que me des tu punto de vista

sau: Espero me puedas ayudar con el archivo que te mando
       Espero te guste este archivo que te mando
       Este es el archivo con la informacion que me pediste

Nos vemos pronto, gracias.


Daca atasamentul este deschis, viermele se copiaza in directorul sistem cu numele de scam32.exe. De asemenea se copiaza in directorul 
"Recycled" cu numele de sirc32.exe, care este un fisier ascuns. Apoi virusul creeaza urmatoarele chei in registri:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services cu valoarea Driver32 = %System%\scam32.exe
pentru a se accesa odata cu pornirea Windowsului, si 
HKEY_CLASSES_ROOT\exefile\shell\open\command cu valoarea C:\Recycled\sirc32.exe "%1" %*"
pentru a se executa rutina de infectie inaintea oricarui alt fisier EXE.

In cazul in care gaseste directoare shared in retea va incerca sa se copieze in directorul Windows local sub numele rundll32.exe
Fisierul original este redenumit ca si run32.exe. Daca aceasta actiune a viermelui reuseste, el modifica fisierul autoexec.bat prin includerea unei noi comenzi care-i permite sa execute fisierul salvat anterior in directorul Windows.

Ca si "semnatura" a virusului, autorul a introdus intr-o forma criptata urmatorul text:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Instructiuni de dezinfectie:

Pasul 1.
Deschideti registry editorul ( Start>Run si scrieti regedit );
Pasul 2.
Selectati cheia :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices si stergeti cheia Driver32 cu valoarea:
"%windows-system%\Scam32.exe";
Pasul 3.
Cheile: HKEY_CLASSES_ROOT\exefile\shell\open\command\ (default) si
HKEY_LOCAL_MACHINE \Software\Classes\exefile\shell\open\command\ (default) trebuie setate la valoarea : ;
Pasul 4.
Stergeti cheia: HKEY_LOCAL_MACHINE \Software\SirCam (cu toate valorile continute) ;
Pasul 5.
In caz ca exista fisierul Run32.exe in directorul Windows, trebuie redenumit sub numele de rundll32.exe. Daca in START, PROGRAMS, STARTUP exista fisierul "Microsoft Internet Office.exe", trebuie sters. Daca in autoexec.bat exista linia:@win \Recycled\SirC32.exe aceasta trebuie stearsa.
Pasul 6.
Rulati AntiVirus eXpert Professional cu optiunea "Atentioneaza utilizatorul pentru actiune". In momentul in care o fereastra va atentioneaza de prezenta virusului, alegeti optiunea "Sterge".
Pasul 7.
Restartati calculatorul.

Win32.Nimda.A@mm

Nume: Win32.Nimda.A@mm
Alte nume: W32/Nimda.A
Tip: Vierme de internet scris in Visual C
Marime: 57344 bytes
Risc: Mediu
ITW: Da
Data: 18 septembrie 2001

Descarca acum antidotul gratuit!

Descriere:

Virusul se raspandeste prin e-mail avand un atasament "README.EXE" si un corp al mesajului aparent gol, dar care contine de fapt cod si executa atasamentul folosind un exploit din Microsoft Outlook sau Microsoft Outlook Express la simpla citire a mesajului. Virusul se copiaza in directorul sistem cu numele de "load.exe". De asemenea se copiaza peste fisierul "riched20.dll" modificandu-se pentru a putea fi incarcat ca o librarie dinamica (DLL).

Pentru a se activa la fiecare repornire a sistemului virusul modifica fisierul "system.ini" in sectiunea "boot" prin adaugarea urmatoarei linii: "shell=explorer.exe load.exe -dontrunold". Pentru raspandirea de tip mass-mailer virusul foloseste functii MAPI pentru citirea adreselor SMTP si trimiterea mailurilor catre acestea. De asemenea, virusul poate trimite e-mailurile infectate folosind direct protocolul SMTP.

De asemenea virusul foloseste un exploit din IIS, acelasi folosit si de CodeBLUE, cunoscut sub denumirea Unicode Web Traversal. Informatii despre acest exploit precum si un patch pot fi gasite la adresa https://www.microsoft.com/technet/security/bulletin/ms00-078.asp . Utilizand acest exploit, virusul se downloadeaza sub numele de "admin.dll" si adauga cod HTML in paginile de WEB gazduite de serverul respectiv pe care este instalat IIS. Pentru a face acest lucru virusul incearca sa modifice fisierele de tipul .html, .htm, .asp.

Virusul se raspandeste si in reteaua locala enumerand share-urile si incercand sa se copieze in acestea. De asemenea virusul adauga un user de tip guest fara parola, pe care il adauga in lista administratorilor si partajeaza cu drepturi depline toate discurile de la C-Z si dezactiveaza proxy-urile prin modificarea urmatoarelor key  in registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 0

HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 0

In premiera echipa Laboratorului AntiVirus SOFTWIN - AVX a descoperit si o alta componenta a acestui virus aceea de infector de fisiere. In sectiunea de resurse a virusului este adaugat fisierul original si fisierul astfel obtinut este suprapus peste cel initial.

Win32.Magistr.B@mm

Nume: Win32.Magistr.B@mm
Aliasuri: I-Worm.Magistr.B, W32.Magistr.39921@mm
Tip: Vierme de Internet si File Infector scris in limbaj de asamblare
Lungime de cod: 30K
Risc: Ridicat
ITW: Da
Data: 5 septembrie 2001

Descriere:

Acest virus este o versiune mult mai stabila si mult imbunatatita a Win32.Magistr.A@mm.
Rutina sa de criptare este mult mai elaborata astfel incat datele originale din EP (Punctul de intrare) sunt criptate cu o cheie generata de numele de identificare al sistemului. Din aceasta cauza, curatarea fisierelor infectate este mult ingreunata.

Virusul este capabil sa infecteze mai multe sisteme din aceeasi retea pentru ca in aceasta noua varianta cauta mai multe nume de directoare Windows decat in versiunea precedenta. In acest caz el cauta urmatoarele nume de directoare:

WINDOWS
WIN95
WIN98
WINME
WINNT
WIN2000
WIN2K
WINXP

si infecteaza fisierele din aceste directoare.
Dupa aceasta se inregistreaza in WIN.INI in sectiunile [Windows] si [Run],respectiv [boot] si [Shell] pentru SYSTEM.INI.
Pe sistemul infectat adauga in registri, urmatoarea inregistrare: in [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] scrie o cheie cu numele primului fisier infectat si cu valoarea egala cu calea catre acest fisier.
Aceasta noua versiune cauta adresele de e-mail si din Adress Book-ul clientului Eudora, pe langa celelalte prezente in prima versiune (Outlook Express, Netscape, s.a).

Aceasta varianta foloseste pentru corpul mesajului infectat si texte in limba franceza.
Cuvintele folosite pentru compunerea mesajului se regasesc in urmatoarea lista:
habeas corpus jugement condamn trouvons coupable a rembourse sous astreinte aux entiers depens aux depens ayant delibere le present arret vu l'arret conformement a la loi execution provisoire rdonn audience publique a fait constater cadre de la procedure magistrad

Actiunea destructiva a virusului este mult mai mare, deoarece suprascrie fisierul WIN.COM din directorul Windows si NTDLR din directorul radacina al partitiei active. In aceasta versiune virusul trimite prin e-mail nu numai fisiere .DOC, ci si imagini .GIF
De asemenea, virusul cauta existenta Personal Firewall-ului ZoneAlarm si, in caz ca il detecteaza, opreste procesele acestuia.