Email-Worm.Win32.Puron

Jest to robak rozprzestrzeniaj膮cy si臋 za po艣rednictwem poczty elektronicznej. Atakuje pliki Windows EXE. Robak obarczony jest b艂臋dami i w niekt贸rych przypadkach zawiesza komputer lub niszczy zara偶ane pliki.

Uruchamianie zainfekowanych plik贸w

Robak mo偶e dosta膰 si臋 do komputera z sieci lokalnej lub poprzez uruchomienie zainfekowanego pliku.

Gdy robak zostanie uruchomiony, wybiera z pliku - nosiciela sw贸j "czysty" kod (zasadnicza cz臋艣膰 robaka to plik Win32 PE EXE o rozmiarze 9,5 KB), zapisuje go w katalogu TEMP systemu Windows z losowo wybran膮 nazw膮 (na przyk艂ad LNBAMKON.EXE, MMCAAHAN.EXE itp.) i uruchamia ten plik (orygina艂 pliku).

Gdy czysty kod wirusa przejmie kontrol臋, kopiuje sw贸j plik (pierwsza kopia) do katalogu Windows i tworzy w nim odpowiadaj膮cy mu klucz rejestru:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionExplorerShell Folders
Common Startup = %startup%

Gdzie %startup% to nazwa w/w katalogu, zale偶nie od wersji Windows, na przyk艂ad:

Documents and SettingsAll UsersStart MenuProgramsStartup
%Folder Windows%All UsersStart MenuProgramsStartup

Robak kopiuje sw贸j kod (druga kopia) do katalogu %startup% z losowo stworzon膮 nazw膮 z艂o偶on膮 z 9 losowo wybranych cyfr i z rozszerzeniem .EXE, na przyk艂ad:

00544102.EXE
17060133.EXE
37154273.EXE

Nast臋pnie robak uruchamia kopi臋 w katalogu startowym i usuwa pierwsz膮 wersj臋 z katalogu TEMP, na przyk艂ad:

  • C:VIRUS.EXE - uruchomiony zara偶ony plik,
  • C:WINDOWSTEMPMMCAAHAN.EXE - pierwsza kopia utworzona i uruchomiona,
  • C:WINDOWSAll UsersStart MenuProgramsStartup0544102.EXE - druga kopia, kt贸ra po stworzeniu i uruchomieniu usuwa pierwsz膮 kopi臋.

Z powodu b艂臋d贸w zdarza si臋, 偶e powy偶szy proces ulega przerwaniu i pierwsza kopia pozostaje w katalogu TEMP.

Gdy proces "w臋dr贸wki" plik贸w jest zako艅czony, robak instaluje mechanizm ukrywania i rozpoczyna ataki na inne systemy, wysy艂aj膮c wiadomo艣ci e-mail.

Zara偶anie

Mechanizm infekowania polega na wyszukiwaniu wykonywalnych plik贸w Windows .EXE i .SCR na lokalnych oraz sieciowych dyskach i infekowaniu ich. Podczas infekowania robak pobiera blok kodu ze 艣rodka zara偶anego pliku, kompresuje ten fragment, do艂膮cza do niego sw贸j kod i wstawia na powr贸t do cia艂a ofiary. W ten spos贸b wielko艣膰 infekowanego pliku przed i po zara偶eniu nie wzrasta.

Robak wykorzystuje mechanizm mutacji polimorficznych co sprawia, 偶e jest on trudniejszy do wykrycia i wyleczenia.

Rozprzestrzenianie za pomoc膮 e-mail

Aby si臋 rozprzestrzenia膰 robak 艂膮czy si臋 z serwerem poczty SMTP i wysy艂a zara偶one wiadomo艣ci wykorzystuj膮c adresy z ksi膮偶ki adresowej Windows.

Zara偶ona wiadomo艣膰 ma format HTML i zawiera nast臋puj膮ce pola:

  • Od:
    Mondo bizarro
  • Temat:
    Joey is dead, man... :-(
  • Tre艣膰:
    A tribute to Joey Ramone (1951-2001)
  • Za艂膮cznik: ramones.mp3.exe

Robak wykorzystuje jedn膮 z luk w zabezpieczeniach systemu MS Windows, odnalezion膮 w roku 2001. W rezultacie mo偶liwe jest uruchamianie za艂膮cznika .EXE bez wiedzy u偶ytkownika. Gdy zara偶ona wiadomo艣膰 e-mail jest otwierana do czytania lub przegl膮dania, robak automatycznie uruchamia plik EXE.

Microsoft stworzy艂 uaktualnienie zabezpiecze艅, kt贸re pozwala na zlikwidowanie tej luki. Dodatkowe informacje mo偶na znale藕膰 na stronie:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Ukrywanie

Robak przejmuje wywo艂ania systemu Windows: FindFile i FindProcess (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Wykorzystuje je w celu ukrycia swoich plik贸w, tak by nie by艂y one widoczne na li艣cie proces贸w.

Informacje dodatkowe

W kodzie szkodnika zapisana jest sygnatura autora:

(c)Vecna
Vecna is a punk rocker now...