Email-Worm.Win32.Magistr

Jest to bardzo niebezpieczny, rezydentny robak dzia艂aj膮cy w systemach Win32. Posiada bardzo zaawansowane i trudne do wykrycia procedury infekuj膮ce. Rozprzestrzenia si臋 w zainfekowanych wiadomo艣ciach e-mail, atakuje uruchamialne pliki systemu Windows i mo偶e rozmna偶a膰 si臋 w sieciach lokalnych. W zale偶no艣ci od r贸偶nych warunk贸w robak usuwa dane zapisane na dysku twardym i niszczy zawarto艣膰 pami臋ci CMOS oraz Flash.

Szkodnik ma rozmiar oko艂o 30 KB. Jest to du偶o zwa偶ywszy na fakt, 偶e napisany jest w j臋zyku Assembler. Du偶y rozmiar robaka jest spowodowany bardzo zaawansowanymi algorytmami: infekuj膮cym pliki PE EXE, wysy艂aj膮cym wiadomo艣ci e-mail oraz rozprzestrzeniaj膮cym. Wirus wyposa偶ony jest r贸wnie偶 w procedury dodatkowe, mechanizmy polimorficzne oraz sztuczki znacznie utrudniaj膮ce jego wykrywanie. Wszystko to czyni robaka jednym z najbardziej zaawansowanych wirus贸w, jakie pojawi艂y si臋 w ostatnim czasie.

Uruchomienie zainfekowanego pliku

Po uruchomieniu (z za艂膮cznika zainfekowanej wiadomo艣ci e-mail) robak instaluje si臋 w pami臋ci systemu Windows, uruchamia si臋 w tle, czeka klika minut i aktywuje swoje procedury: infekuj膮ce lokalne i sieciowe pliki PE EXE, wysy艂aj膮ce zara偶one wiadomo艣ci e-mail itd.

Aby zainstalowa膰 si臋 w pami臋ci wirus uzyskuje dost臋p do procesu EXPLORER.EXE (jest on zawsze aktywny w pami臋ci systemu Windows) i dodaje do niego kr贸tk膮 (110 bajt贸w) procedur臋 艂aduj膮c膮, kt贸ra uruchamia kod szkodnika zapisany w pami臋ci procesu EXPLORER. Zatem wirus instaluje si臋 w pami臋ci jako komponent procesu EXPLORER.EXE i dzia艂a w tle (jako w膮tek procesu EXPLORER.EXE). Przed uruchomieniem swoich procedur robak pozostaje w u艣pieniu przez 3 minuty.

Nast臋pnie wirus pobiera plik (zazwyczaj jest to pierwszy plik) z katalogu systemu Windows, infekuje go i umieszcza w rejestrze systemowym

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

oraz w sekcji [windows] pliku WIN.INI. Dzi臋ki tym operacjom wirus zapewnia sobie uruchamianie wraz z ka偶dym startem systemu operacyjnego.

Nast臋pnie robak uruchamia swoje procedury infekuj膮ce, kt贸re atakuj膮 wszystkie pliki PE .EXE .SCR, znalezione na dost臋pnych dyskach. Swoje pierwsze "kroki" wirus kieruje do katalog贸w WINNT, WINDOWS, WIN95 oraz WIN98 i infekuje zapisane w nich pliki. W dalszej kolejno艣ci atakowane s膮 pliki przechowywane na dyskach sieciowych.

Podczas przeszukiwania nap臋d贸w wirus tworzy na sw贸j u偶ytek specjalny plik .DAT. Nazwa i lokalizacja tego pliku zale偶y od sieciowej nazwy zainfekowanego komputera. Plik jest tworzony w katalogu Windows, Program Files lub w katalogu g艂贸wnym dysku C:.

Infekowanie plik贸w

Wirus atakuje pliki PE EXE w bardzo z艂o偶ony i trudny do wykrycia spos贸b. Na pocz膮tku kod robaka jest szyfrowany przy u偶yciu polimorficznej procedury i zapisywany na ko艅cu atakowanego pliku. Aby przej膮膰 kontrol臋 nad zainfekowanym zbiorem wirus zmienia jego kod wej艣ciowy na procedur臋 przekazuj膮c膮 sterowanie do ko艅cowej cz臋艣ci pliku, w kt贸rej zapisany jest w艂a艣ciwy kod szkodnika.

Zainfekowane wiadomo艣ci e-mail

W celu wysy艂ania zainfekowanych wiadomo艣ci e-mail robak szuka w rejestrze systemowym zainstalowanych klient贸w poczty elektronicznej. Nast臋pnie wirus pobiera kontakty z ksi膮偶ek adresowych i wysy艂a zainfekowane wiadomo艣ci.

Wysy艂ane przez robaka e-maile nie posiadaj膮 偶adnej tre艣ci. Nazwa za艂膮czonego pliku mo偶e by膰 r贸偶na - szkodnik wybiera jeden z zainfekowanych uprzednio plik贸w PE EXE.

Temat wiadomo艣ci jest losowo konstruowany z s艂贸w i sentencji, kt贸re zapisane s膮 w plikach na dysku twardym. Wirus dodaje do nich r贸wnie偶 zdania z poni偶szej listy:

sentences you, ayant d茅lib茅r茅, sentences him to, le pr茅sent arr臋t, sentence you to, vu l',27h,'arr臋t, ordered to prison, conform茅ment 艜 la loi, convict, ex茅cution provisoire, judge, rdonn, circuit judge, audience publique, trial judge, a fait constater, found guilty, cadre de la proc茅dure, find him guilty, magistrad, affirmed, apelante, judgment of conviction, recurso de apelaci, verdict, pena de arresto, guilty plea, y condeno, trial court, mando y firmo, trial chamber, calidad de denunciante, sufficiency of proof, costas procesales, sufficiency of the evidence, diligencias previas, proceedings, antecedentes de hecho, against the accused, hechos probados, habeas corpus, sentencia, jugement, comparecer, condamn, juzgando, trouvons coupable, dictando la presente, 艜 rembourse, los autos, sous astreinte, en autos, aux entiers d茅pens, denuncia presentada, aux d茅pens

Podczas wysy艂ania wiadomo艣ci wirus przy u偶yciu protoko艂u SMTP 艂膮czy si臋 z jednym z trzech serwer贸w pocztowych i wysy艂a trzy dodatkowe wiadomo艣ci. W czterech przypadkach na pi臋膰 szkodnik zmienia drug膮 liter臋 nazwy nadawcy. Szkodnik przechowuje w swoim kodzie dziesi臋膰 adres贸w zainfekowanych u偶ytkownik贸w.

Procedury dodatkowe

W zale偶no艣ci od swoich wewn臋trznych licznik贸w robak manifestuje swoj膮 obecno艣膰 nie zezwalaj膮c u偶ytkownikowi na dost臋p do ikon Pulpitu. Gdy kursor myszy zostanie przesuni臋ty nad ikon臋, wirus przesuwa j膮 poza zasi臋g kursora. Wygl膮da to tak, jakby ikony "ucieka艂y" przed kursorem myszy. magistr.gif

Po up艂yni臋ciu miesi膮ca od infekcji komputera, wirus uruchamia procedur臋 nadpisuj膮c膮 wszystkie pliki zapisane na lokalnych i sieciowych dyskach tekstem YOUARESHIT. Dodatkowo, w komputerach pracuj膮cych pod kontrol膮 system贸w Win9x, szkodnik usuwa zawarto艣膰 pami臋ci CMOS, Flash oraz dysku twardego. Na koniec wirus wy艣wietla poni偶szy tekst:

Another haughty bloodsucker.......
YOU THINK YOU ARE GOD , 
BUT YOU ARE ONLY A CHUNK OF SHIT