VIRUS INFO
|
| Naziv
virusa: |
I-Worm.Silver |
| Alias:
|
|
| Tip: |
worm |
| Način
širenja: |
e-mailom
i IRC kanalima |
| Veličina: |
90Kb
a može biti i manji |
Destruktivan:
|
da |
| Datum
aktiviranja: |
|
| Otkriven:
|
28.06.2000.
|
OBJAŠNJENJE
Ovaj
crv ja napisan u programskom jeziku Delphi i veličine
je 90Kb, ali postoji i verzija ovog crva koja
je komprimovana sa kompresorom (nešto kao WinZip)
PE EXE, i može biti i manji od 90Kb.
Dobija
se e-mail poruka:
Subject:
concerning last week ...
Telo poruke:
Please
review the enclosed and get back with me ASAP.
Double click the Icon to open it.
Attachment:
c:\silver.exe.
Kada
se ovaj fajl izvrši, crv napada program za e-mail.
Crv ne pravi razliku među programima koje korisnik
koristi. On koristi sistemske MAPI funkcije kako
bi pronašao korisnikov default program za e-mail.
Priključi se na korisnikov e-mail program, skenira
sve poruke koje postoje, pročita sve e-mail adrese
i iskoristi ih da bi se proširio. Ako crv uspešno
obavi ovu radnju, e-mail poruke koje pošalje izgledaju
ovako:
Subject:
Re: now this is a nice pic :-)
Telo poruke: Thought you might be interested
in seeing her
Attachment: naked.jpg.exe
U primljenom
fajlu se nalazi crv koji je identičan primljenom.
Ovaj
crv kreira sledeće fajlove u Windows direktorijumu:
SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE i NAKED.JPG.SCR
i u
root-u korisnikovog računara:
SILVER.EXE.
Napravi
i sledeće izmene u Registry bazi:
HKEY_CURRENT_USER
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows
\ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows
\ CurrentVersion \ RunServices
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows
\ CurrentVersion \ Run
gde
svi ključevi imaju vrednost:
Silver
Rat = Windows_Direktorijum \ silver.exe.
Na ovaj
način se crv svaki put startuje kada se Windows
startuje.
Ovaj
crv ima specifičan algoritam po kome natera Windows
da kada se otvara neki fajl da se i crv aktivira.
Registry baza je napisana tako da kada korisnik
aktivira neki fajl, Windows iz Registry baze pročita
koji program će da ga otvori i prikaže korisniku.
Crv izmeni klučeve koji su asocirani sa sledećim
komandama:
\
shell \ open \ command
\ shell \ edit \ command
\ shell \ play \ command
tako da ce ključ izgledati npr. ovako:
HKEY_CLASSES_ROOT
\ AIFFFILE \ shell \ open \ command = "C:\
WINDOWS \ silver.vxd 33157 "%1" %",
HKEY_CLASSES_ROOT \ AIFFFILE \ shell \ play \
command = "C:\ WINDOWS \ silver.vxd 53157
"%1" %",
HKEY_CLASSES_ROOT \ ASFFILE \ shell \ open \ command
= "C:\ WINDOWS \ silver.vxd 379157 "%1"
%".
Na ovaj
način će se Windows naterati da svaki fajl koji
se startuje bude tako startovan da se aktivira
i crv. (brojevi u ključevima su ID brojevi kojima
se aktiviraju fajlovi). Ovde ću navesti samo nekoliko
fajl aplikacija koje ovaj crv zarazi, a spisak
je još duži:
accesshtmlfile;
iqyfile; regedit; fonfile; accessthmltemplate;
IVFfile; regfile; GatewayFile; AIFFFILE; jpegfile;
SHCmdFile; htafile; AllaireTemplate; JSFile; SoundRec;
icsfile; anifile; ldap; tgafile; mhtmlfile; artfile;
mailto; txtfile; MMS; aspfile; mic; VBSFile; MMST;
AudioCD; MIDFile; wab_auto_file; MMSU; aufile;
money; Winamp.File; NSM; AVIFile; MOVFile; WinRAR;
MSBD; Briefcase; MPEGFILE; WinRAR.ZIP; motiffile;
cdafile; MPlayer; WinZip; Msi.Package; Chat; mscfile;
wrifile; Msi.Patch; CSSfile; msee; WSFFile; ofc.Document;
curfile; msgfile; x-internet-signup; ofx.Document;
Drive; MSProgramGroup; xbmfile; pjpegfile; DrWatsonLog;
Net2PhoneApp; xmlfile; PNM; Excel.Workspace; NetscapeMarkup;
xnkfile; qwb.Document; ftp; news; xslfile; rtsp;
giffile; nntp; m3ufile; cpfile; helpfile; Notes.Link;
ASFFile; scriptletfile; hlpfile; ossfile; ASXFile;
SSM; htfile; outlook; BeHostFile; ThemeFile; htmlfile;
PBrush; ChannelFile; TIFImage.Document; chm.file;
ttffile; https; pngfile; CMCD; WangImage.Document;
icofile; powerpointhtmlfile; Connection Manager
Profile Whiteboard; icquser; ramfile; eybfile;
WIFImage.Document; inifile; RealMedia File; fndfile;
WSHFile……… i još mnogo toga.
Na svim
ovim ključevima stoji vrednost:
HKEY_LOCAL_MACHINE\Software\Silver
Rat.
Ovim
izmenama crv ne dozvoljava korisniku na jednostavan
način da se ukloni. Brisanjem fajl SILVER.VXD,
Windows može da ostane potpuno paralisan jer prilikom
izvršavanja fajlova neće se naći taj fajl, tj.
crva, koji se uvek startuje, a bez njega se, posle
ovoga, se neće startovati ništa.
Crv
veoma mnogo pažnje obraća na to da korisnik ne
može da povrati stare fajlove. Briše sa diska
fajlove USER.DA0 i SYSTEM.DA0 u
Windows direktorijumu i SYSTEM.1ST u root-u
a u backup fajlove, koji su nastali posle izmena,
prvih 5 Kb prebriše sa nasumičnim komandama koje
ništa ne rade.
Crv
ima i svoju rutinu deinstaliranja koju je moguće
videti i iz Registry baze:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ Uninstall \ Silver
Rat DisplayName = "Silver Rat Virus"
UninstallString = "c:\ silver.exe /uninstall".
Kada
se pokrene deinstalacija crva, pojaviće se sledeća
poruka.
RecycleBin
će posle ovoga izgledati ovako.
Crv
ima algoritam po kojim može da prepozna, isključi
pa čak i da obriše neke programe koji štite korisnika
od virusa. Na tom spisku programa se nalaze: AVP
Monitor, Norton AntiVirus Auto-Protect, Norton
AntiVirus v5.0, VShieldWin_Class, NAI_VS_STAT,
McAfee VirusScan Scheduler, ZoneAlarm i WRQ
NAMApp Class.
Crv
obriše i sve fajlove sa ekstenzijama: *.AVC
(fajlovi kreirani od strane AVP), *.DAT
(fajlovi kreirani od strane NAI), BAVAP.VXD
i NAVKRNLN.VXD (fajlovi kreirani od
strane NAV).
Crv
kao zadnje ostavlja inficiranje svih VBS fajlova,
ali zbog greške u algoritmu ne uspeva.
REŠENJE
Ovde
pomaže samo osveženi antivirusni program.
|
