Email-Worm.Win32.Silver

Jest to niebezpieczny robak rozprzestrzeniaj膮cy si臋 poprzez Internet oraz kana艂y IRC. Infekuje r贸wnie偶 sieci lokalne. Robak ma posta膰 aplikacji napisanej w Delphi o rozmiarze oko艂o 90 KB.

Wysy艂anie wiadomo艣ci e-mail

W celu wysy艂ania zainfekowanych wiadomo艣ci, wirus wykorzystuje dwie, r贸偶ne metody. Przede wszystkim, robak szuka klienta Eudora. Je艣li jest on zainstalowany w systemie, robak skanuje jego baz臋 wiadomo艣ci wychodz膮cych, pobiera adresy i wysy艂a pod nie zainfekowane wiadomo艣ci z za艂膮czon膮 kopi膮 samego siebie. Wiadomo艣膰 wygl膮da nast臋puj膮co:

  • Temat:
    concerning last week ...
  • Tre艣膰:
    Please review the enclosed and get back with me ASAP.
    Double click the Icon to open it.
  • Za艂膮cznik: c:silver.exe

Nast臋pnie robak testuje zainstalowany system pocztowy, niezale偶nie od jego rodzaju. W tym celu wirus wykorzystuje funkcje MAPI: 艂膮czy si臋 z zainstalowanym systemem pocztowym, pobiera z niego wiadomo艣ci, odczytuje adresy e-mail i wykorzystuje je do rozsy艂ania swoich kopii. W tym przypadku zainfekowana wiadomo艣膰 wygl膮da nast臋puj膮co:

  • Temat:
    Re: now this is a nice pic :-)
  • Tre艣膰:
    Thought you might be interested in seeing her
  • Za艂膮cznik: naked.jpg.exe

Infekowanie klient贸w mIRC oraz PIRCH

W celu zainfekowania klient贸w IRC, wirus szuka katalog贸w C:MIRC, C:MIRC32 oraz C:PIRCH98 i nadpisuje skrypty IRC w艂asnym programem, wysy艂aj膮cym kopie robaka do ka偶dego u偶ytkownika, kt贸ry przy艂膮czy si臋 do zaatakowanego kana艂u.

Skrypt wirusa spe艂nia tak偶e dodatkowe zadania. Gdy u偶ytkownik wy艣le poprzez kana艂 IRC wiadomo艣膰 "silverrat", robak odpowie temu u偶ytkownikowi wiadomo艣ci膮 "I have the Silver Rat virus" (czyli robak mo偶e poinformowa膰 swojego tw贸rc臋 o zainfekowanych komputerach). Je艣li robak znajdzie na kanale tekst "pyrealrat", skrypt otwiera dysk C: zaatakowanego komputera jako serwer plikowy (daje to tw贸rcy robaka pe艂ny dost臋p do danych na dysku C:).

Rozprzestrzenianie w sieciach lokalnych

W celu zainfekowania zdalnych komputer贸w w sieci robak skanuje wszystkie dyski od C: do Z: w poszukiwaniu katalogu WINDOWS. Je艣li katalog taki zostanie odnaleziony, robak kopiuje si臋 do niego i rejestruje si臋 w sekcji auto-run pliku WIN.INI lub w rejestrze systemowym (w zale偶no艣ci od wersji systemu Windows - Win9x lub WinNT). Robak mo偶e wi臋c infekowa膰 komputery w sieciach lokalnych, tylko je艣li ich dyski s膮 udost臋pnione do odczytu i zapisu.

Instalacja w systemie

Aby zainstalowa膰 si臋 w systemie robak kopiuje si臋 do poni偶szych katalog贸w z nast臋puj膮cymi nazwami:

  • do katalogu Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
  • do katalogu g艂贸wnego dysku C: SILVER.EXE

Nast臋pnie robak rejestruje si臋 w polach auto-run rejestru systemowego:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRun
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  • HKUSoftwareMicrosoftWindowsCurrentVersionRun

Wszystkie te pola zawieraj膮 instrukcj臋:

"Silver Rat" = WinDirsilver.exe

gdzie "WinDir" to nazwa katalogu, w kt贸rym zainstalowany jest Windows.

W rezultacie kopia wirusa jest uruchamiana wraz z ka偶dym startem systemu.

Atakowanie kluczy rejestru

Aplikacje systemu Windows s膮 po艂膮czone z rozszerzeniami plik贸w poprzez specjalne wpisy w rejestrze systemowym. Wpisy te wskazuj膮 na aplikacj臋, kt贸ra obs艂uguje okre艣lony typ plik贸w. Gdy plik jest otwierany, Windows pobiera jego rozszerzenie i odszukuje w rejestrze nazw臋 aplikacji, kt贸ra ten konkretny typ plik贸w obs艂uguje.

Robak wykorzystuje t膮 w艂a艣ciwo艣膰 systemu Windows i modyfikuje ponad 100 takich kluczy rejestru - zamienia oryginaln膮 referencj臋 do aplikacji na referencj臋 do swojej kopii (SILVER.VXD). Dla ka偶dej aplikacji robak modyfikuje trzy r贸偶ne klucze:

  • shellopencommand
  • shelleditcommand
  • Shellplaycommand

Zmienione klucze rejestru wygl膮daj膮 nast臋puj膮co:

  • HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157 "%1" %"
  • HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157 "%1" %"
  • HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157 "%1" %"

gdzie cyfry to identyfikatory zaatakowanych aplikacji (zobacz poni偶ej).

Lista atakowanych aplikacji (kluczy rejestru 艂膮cz膮cych rozszerzenia z aplikacjami) jest ca艂kiem d艂uga i wygl膮da nast臋puj膮co:

accesshtmlfile      iqyfile             regedit                     fonfile
 accessthmltemplate  IVFfile             regfile                     GatewayFile
 AIFFFILE            jpegfile            SHCmdFile                   htafile
 AllaireTemplate     JSFile              SoundRec                    icsfile
 anifile             ldap                tgafile                     mhtmlfile
 artfile             mailto              txtfile                     MMS
 aspfile             mic                 VBSFile                     MMST
 AudioCD             MIDFile             wab_auto_file               MMSU
 aufile              money               Winamp.File                 NSM
 AVIFile             MOVFile             WinRAR                      MSBD
 Briefcase           MPEGFILE            WinRAR.ZIP                  motiffile
 cdafile             MPlayer             WinZip                      Msi.Package
 Chat                mscfile             wrifile                     Msi.Patch
 CSSfile             msee                WSFFile                     ofc.Document
 curfile             msgfile             x-internet-signup           ofx.Document
 Drive               MSProgramGroup      xbmfile                     pjpegfile
 DrWatsonLog         Net2PhoneApp        xmlfile                     PNM
 Excel.Workspace     NetscapeMarkup      xnkfile                     qwb.Document
 ftp                 news                xslfile                     rtsp
 giffile             nntp                m3ufile                     scpfile
 helpfile            Notes.Link          ASFFile                     scriptletfile
 hlpfile             ossfile             ASXFile                     SSM
 htfile              outlook             BeHostFile                  ThemeFile
 htmlfile            PBrush              ChannelFile                 TIFImage.Document
 http                pcxfile             chm.file                    ttffile
 https               pngfile             CMCD                        WangImage.Document
 icofile             powerpointhtmlfile  Connection Manager Profile  Whiteboard
 icquser             ramfile             eybfile                     WIFImage.Document
 inifile             RealMedia File      fndfile                     WSHFile

Robak przechowuje oryginalne klucze w innym kluczu rejestru:

HKLMSoftwareSilver Rat

Zawiera on list臋 wszystkich zmienionych kluczy. Robak wykorzystuje t膮 list臋 w celu uruchamiania oryginalnych aplikacji.

Taka metoda infekcji rejestru systemowego jest bardzo niebezpieczna. Gdy wirus zostanie usuni臋ty z systemu, Windows nie b臋dzie m贸g艂 przesy艂a膰 plik贸w do wymienionych na powy偶szej li艣cie aplikacji. W rezultacie system stanie si臋 praktycznie bezu偶yteczny.

Wirus przywi膮zuje szczeg贸lna wag臋 do plik贸w zapasowych i pozbywa si臋 ich, aby wyeliminowa膰 mo偶liwo艣膰 przywr贸cenia oryginalnej zawarto艣ci rejestru. W tym celu, robak niszczy (nadpisuje 艣mieciami pierwsze 5 KB) i usuwa pliki:

  • USER.DA0 oraz SYSTEM.DA0 z katalogu Windows
  • SYSTEM.1ST z katalogu g艂贸wnego dysku C:

Funkcja "Odinstaluj"

Robak posiada funkcj臋, kt贸ra uaktywnia si臋 podczas pr贸by "odinstalowania" go.

Robak tworzy w rejestrze systemowym klucz "uninstall":

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Silver Rat Virus"
UninstallString = "c:silver.exe /uninstall"

W rezultacie jest widziany w oknie Dodaj/Usu艅 Programy, jako "Silver Rat Virus". Je艣li zostanie wci艣ni臋ty przycisk "Usu艅", robak wy艣wietla okienko informacyjne:

Blood
"I have to return some videos" - American Psycho

i zape艂nia 艣mieciami lini臋 nag艂贸wka okna Kosza (zobacz obrazek).

Inne w艂a艣ciwo艣ci

Robak odszukuje i wy艂膮cza nast臋puj膮ce programy antywirusowe:

  • AVP Monitor
  • Norton AntiVirus Auto-Protect
  • Norton AntiVirus v5.0
  • VShieldWin_Class
  • NAI_VS_STAT
  • McAfee VirusScan Scheduler
  • ZoneAlarm
  • WRQ NAMApp Class

Ponadto, robak usuwa nast臋puj膮ce bazy antywirusowe:

  • *.AVC (AVP)
  • *.DAT (NAI)
  • BAVAP.VXD, NAVKRNLN.VXD (NAV)

Robak pr贸buje infekowa膰 pliki VBS, lecz ze wzgl臋du na b艂膮d - nie udaje mu si臋 to.