Zrób mi format…

Ostatnio coraz częściej internetowy świat zalewa fala coraz to nowszych wirusów komputerowych. Wirusy komputerowe, które zazwyczaj pisane są w języku programowania Visual Basic Script, pojawiają się na komputerze potencjalnej ofiary w większości przypadków w postaci zawirusowanego załącznikia poczty elektronicznej…

Wirusy te, także posiadają procedury destrukcyjne polegające na przykład na formatowaniu dysku twardego czy usuwaniu plików rejestru lub jego modyfikacji o odpowiednio spreparowany kod źródłowy.

Dzisiejszego dnia pojawiły się dwa nowe wirusy, które m.in. posiadają wyżej wymienione procedury destrukcyjne. Wirusy MissWorld oraz I-Worm.Moncher, bo właśnie o nich mowa, po zainfekowaniu swoim kodem komputer ofiary, oprócz samoczynnego rozsyłania się, przy użyciu programu Microsoft Outlook i Outlook Express, do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, także uruchamiają swoją procedurę formatowania dysku.

W przypadku I-Worm.Moncher, wirus ten także oprócz standardowego rozsyłania się poprzez pocztę elektroniczną, może także rozprzestrzeniać się poprzez kanały IRC. Po uruchomieniu zainfekowanego pliku, wirus rejestruje się w systemie, aby zapewnić sobie uruchamianie wraz z każdym jego startem. Aby ukryć swoją instalację w systemie, szkodnik wyświetla fałszywe wiadomości typu:

INSTALL
Install complete.
ERROR!
Unable to run program!

Podczas instalacji wirus także kopiuje się do katalogu /windows/ z nazwą WINHLP.EXE w którym znajduje się główny kod procedur, oraz tworzy skrypt VBS OUTLOOKHELP.VBS i dodaje się do sekcji autostartu Rejestru Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run WinProfile = %WinDir%\winhlp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run OutlookProfile = %WinDir%\outlookhelp.vbs,

Po uruchomieniu skrypt VBS łączy się z programem MS Outlook, pobiera kontakty z jego książki adresowej i wysyła zainfekowane wiadomości o następującym formacie:

Temat: With Love
Treść: Whit all my love for you. 🙂
Załączony plik: Winhlp.exe or MonCherry.zip

Dodatkowo szkodnik atakuje klienta mIRC, jeśli jest on zainstalowany w katalogu C:\MIRC. Wirus dopisuje do pliku SCRIPT.INI skrypt, który wysyła zarażony plik WINHLP.EXE do każdego użytkownika przyłączającego się do zainfekowanego kanału IRC.

Wirus także umieszcza w pliku C:\AUTOEXEC.BAT procedurę formatującą dysk C po restarcie komputera.

O podobnym działaniu zachowuje się także wirus MissWorld który posiada również procedury destrukcyjne polegające na formatowaniu dysku twardego oraz usuwaniu plików rejestru.

Wirus pojawia się na komputerze ofiary w postaci załącznika do listu elektronicznego, udającego prezentację we Flashu. List ten posiada następującą treść:

Temat: Miss World
Treść: Hi, Enjoy the latest pictures of Miss World from various Country
Załącznik: MissWorld.exe

Gdy użytkownik uruchomi pliku z załącznika, wirus aktywizuje się, uruchamiając swoje procedury. Polegają one na rozsyłaniu się, przy użyciu standardowo programu Microsoft Outlook i Outlook Express, do wszystkich adresatów.

Na koniec wirus przeprowadza działania destrukcyjne które polegają na modyfikacji pliku C:\AUTOEXEC.BAT, tak by przy następnym uruchomieniu systemu nastąpiło formatowanie dysku twardego (dodana zostaje linia „format c: /q /autotest”), a także usunięciu plików rejestru systemu Windows (user.dat i system.dat).

O nieco innym działaniu zachowuje się wirus I-Worm.Petik.a. Nieposiada on procedur destrukcyjnych lecz tylko zmienia ikonę przyporządkowaną plikom EXE.

Wirus ten rozprzestrzenia się jako plik MADCOW.EXE załączony do wiadomości poczty elektronicznej. Podczas pierwszego uruchomienia wirus kopiuje się do dwóch plików Wininet32.exe oraz MadCow.exe które znajdują się w katalogu systemowym Windows. Wirus ten takze rejestruje się w sekcjach auto-run pliku WIN.INI. Kod wirusa tworzy katalog C:\WIN32 a w nim dwa pliki o nazwach: ENVOIE.BAT który tworzy plik ENVOIE.VBS dzięki któremu wirus będzie mógł rozprzestrzeniać się w zainfekowanych wiadomościach.

Po uruchomieniu skrypt łączy się z programem MS Outlook i wysyła zainfekowane wiadomości do wszystkich kontaktów znalezionych w książce adresowej. Wiadomości wyglądają następująco:

Temat: Pourquoi les vaches sont-elles folles ?
Treść: Voila un rapport expliquant la folie des vaches
Załączony plik: MadCow.exe

Podczas następnego uruchomienia (po restarcie systemu) wirus tworzy swoją kopię o nazwie MadCow.exe w katalogu C:\WIN32, po czym szuka klienta mIRC w katalogach:

– C:\MIRC\
– C:\MIRC32\
– C:\Program Files\MIRC\
– C:\Program Files\MIRC32\

Zaatakowany klient mIRC będzie wysyłał kopię wirusa do wszystkich użytkowników, którzy przyłączą się do zainfekowanego kanału.

Na koniec robak tworzy klucz rejestru: HKLM\Software\[Atchoum].

Jeśli w systemie nie zostanie znaleziony klient mIRC, szkodnik tworzy plik MSLS.ICO, zapisuje w nim ikonę przedstawiającą diabła i rejestruje ją jako standardową dla plików EXE.

W kodzie szkodnika umieszczone są poniższe teksty:
IWorm.MadCow par PetiK (c)2000
I Love You Maya / Je t’aime