Email-Worm.Win32.Silver
W celu wysy艂ania zainfekowanych wiadomo艣ci, wirus wykorzystuje dwie, r贸偶ne metody. Przede wszystkim, robak szuka klienta Eudora. Je艣li jest on zainstalowany w systemie, robak skanuje jego baz臋 wiadomo艣ci wychodz膮cych, pobiera adresy i wysy艂a pod nie zainfekowane wiadomo艣ci z za艂膮czon膮 kopi膮 samego siebie. Wiadomo艣膰 wygl膮da nast臋puj膮co:
- Temat:
concerning last week ...
- Tre艣膰:
Please review the enclosed and get back with me ASAP. Double click the Icon to open it.
- Za艂膮cznik: c:silver.exe
Nast臋pnie robak testuje zainstalowany system pocztowy, niezale偶nie od jego rodzaju. W tym celu wirus wykorzystuje funkcje MAPI: 艂膮czy si臋 z zainstalowanym systemem pocztowym, pobiera z niego wiadomo艣ci, odczytuje adresy e-mail i wykorzystuje je do rozsy艂ania swoich kopii. W tym przypadku zainfekowana wiadomo艣膰 wygl膮da nast臋puj膮co:
- Temat:
Re: now this is a nice pic :-)
- Tre艣膰:
Thought you might be interested in seeing her
- Za艂膮cznik: naked.jpg.exe
W celu zainfekowania klient贸w IRC, wirus szuka katalog贸w C:MIRC, C:MIRC32 oraz C:PIRCH98 i nadpisuje skrypty IRC w艂asnym programem, wysy艂aj膮cym kopie robaka do ka偶dego u偶ytkownika, kt贸ry przy艂膮czy si臋 do zaatakowanego kana艂u.
Skrypt wirusa spe艂nia tak偶e dodatkowe zadania. Gdy u偶ytkownik wy艣le poprzez kana艂 IRC wiadomo艣膰 "silverrat", robak odpowie temu u偶ytkownikowi wiadomo艣ci膮 "I have the Silver Rat virus" (czyli robak mo偶e poinformowa膰 swojego tw贸rc臋 o zainfekowanych komputerach). Je艣li robak znajdzie na kanale tekst "pyrealrat", skrypt otwiera dysk C: zaatakowanego komputera jako serwer plikowy (daje to tw贸rcy robaka pe艂ny dost臋p do danych na dysku C:).
W celu zainfekowania zdalnych komputer贸w w sieci robak skanuje wszystkie dyski od C: do Z: w poszukiwaniu katalogu WINDOWS. Je艣li katalog taki zostanie odnaleziony, robak kopiuje si臋 do niego i rejestruje si臋 w sekcji auto-run pliku WIN.INI lub w rejestrze systemowym (w zale偶no艣ci od wersji systemu Windows - Win9x lub WinNT). Robak mo偶e wi臋c infekowa膰 komputery w sieciach lokalnych, tylko je艣li ich dyski s膮 udost臋pnione do odczytu i zapisu.
Aby zainstalowa膰 si臋 w systemie robak kopiuje si臋 do poni偶szych katalog贸w z nast臋puj膮cymi nazwami:
- do katalogu Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
- do katalogu g艂贸wnego dysku C: SILVER.EXE
Nast臋pnie robak rejestruje si臋 w polach auto-run rejestru systemowego:
Wszystkie te pola zawieraj膮 instrukcj臋:
gdzie "WinDir" to nazwa katalogu, w kt贸rym zainstalowany jest Windows.
W rezultacie kopia wirusa jest uruchamiana wraz z ka偶dym startem systemu.
Aplikacje systemu Windows s膮 po艂膮czone z rozszerzeniami plik贸w poprzez specjalne wpisy w rejestrze systemowym. Wpisy te wskazuj膮 na aplikacj臋, kt贸ra obs艂uguje okre艣lony typ plik贸w. Gdy plik jest otwierany, Windows pobiera jego rozszerzenie i odszukuje w rejestrze nazw臋 aplikacji, kt贸ra ten konkretny typ plik贸w obs艂uguje.
Robak wykorzystuje t膮 w艂a艣ciwo艣膰 systemu Windows i modyfikuje ponad 100 takich kluczy rejestru - zamienia oryginaln膮 referencj臋 do aplikacji na referencj臋 do swojej kopii (SILVER.VXD). Dla ka偶dej aplikacji robak modyfikuje trzy r贸偶ne klucze:
- shellopencommand
- shelleditcommand
- Shellplaycommand
Zmienione klucze rejestru wygl膮daj膮 nast臋puj膮co:
- HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157 "%1" %"
- HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157 "%1" %"
- HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157 "%1" %"
gdzie cyfry to identyfikatory zaatakowanych aplikacji (zobacz poni偶ej).
Lista atakowanych aplikacji (kluczy rejestru 艂膮cz膮cych rozszerzenia z aplikacjami) jest ca艂kiem d艂uga i wygl膮da nast臋puj膮co:
accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Briefcase MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp news xslfile rtsp giffile nntp m3ufile scpfile helpfile Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile RealMedia File fndfile WSHFile
Robak przechowuje oryginalne klucze w innym kluczu rejestru:
Zawiera on list臋 wszystkich zmienionych kluczy. Robak wykorzystuje t膮 list臋 w celu uruchamiania oryginalnych aplikacji.
Taka metoda infekcji rejestru systemowego jest bardzo niebezpieczna. Gdy wirus zostanie usuni臋ty z systemu, Windows nie b臋dzie m贸g艂 przesy艂a膰 plik贸w do wymienionych na powy偶szej li艣cie aplikacji. W rezultacie system stanie si臋 praktycznie bezu偶yteczny.
Wirus przywi膮zuje szczeg贸lna wag臋 do plik贸w zapasowych i pozbywa si臋 ich, aby wyeliminowa膰 mo偶liwo艣膰 przywr贸cenia oryginalnej zawarto艣ci rejestru. W tym celu, robak niszczy (nadpisuje 艣mieciami pierwsze 5 KB) i usuwa pliki:
- USER.DA0 oraz SYSTEM.DA0 z katalogu Windows
- SYSTEM.1ST z katalogu g艂贸wnego dysku C:
Robak posiada funkcj臋, kt贸ra uaktywnia si臋 podczas pr贸by "odinstalowania" go.
Robak tworzy w rejestrze systemowym klucz "uninstall":
DisplayName = "Silver Rat Virus"
UninstallString = "c:silver.exe /uninstall"
W rezultacie jest widziany w oknie Dodaj/Usu艅 Programy, jako "Silver Rat Virus". Je艣li zostanie wci艣ni臋ty przycisk "Usu艅", robak wy艣wietla okienko informacyjne:
Blood "I have to return some videos" - American Psycho
i zape艂nia 艣mieciami lini臋 nag艂贸wka okna Kosza (zobacz obrazek).
Robak odszukuje i wy艂膮cza nast臋puj膮ce programy antywirusowe:
- AVP Monitor
- Norton AntiVirus Auto-Protect
- Norton AntiVirus v5.0
- VShieldWin_Class
- NAI_VS_STAT
- McAfee VirusScan Scheduler
- ZoneAlarm
- WRQ NAMApp Class
Ponadto, robak usuwa nast臋puj膮ce bazy antywirusowe:
- *.AVC (AVP)
- *.DAT (NAI)
- BAVAP.VXD, NAVKRNLN.VXD (NAV)
Robak pr贸buje infekowa膰 pliki VBS, lecz ze wzgl臋du na b艂膮d - nie udaje mu si臋 to.