W32/Gibe-F
(19. rujna 2003., 22. rujna 2003.)
 
 

Sophos Plc obavijestio nas je o pojačanoj aktivnosti crva W32/Gibe-F za koji je primio više prijava otkrivanja. Qubis d.o.o. do sada je primio jednu dojavu otkrivanja ovog crva u Hrvatskoj. Crv W32/Gibe-F prepoznavat će Sophos Anti-Virus za studeni 2003. (v3.75).

Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 18. rujna 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

  • W32/Swen.A@mm
  • I-Worm.Swen
  • Worm.Automat.AHB

Način širenja

Širi se elektroničkom poštom, dijeljenim folderima na mrežama, peer-to-peer mrežama, IRC kanalima i Usenet grupama. Za automatsko širenje koristi propust opisan još početkom 2001. godine na Microsoftovim stranicama.

Aktivnosti / Simptomi / Posljedice

Crv zaustavlja veći broj procesa poznatih antivirusnih programa i osobnih vatrozida ako korisnik koji je aktivirao crva to ima pravo učiniti.

Onemogućava upotrebu programa RegEdit.EXE kako bi otežao uklanjanje svojih postavki iz registry-ja.

Po pokretanju virus će kreirati datoteke:

  • %WinDir%\<xyz>.exe
  • %WinDir%\SWEN1.DAT

(<xyz> predstavlja slučajno odabran naziv). Swen1.DAT sadrži popis IP adresa i naziva domena nekih Usenet servera.

U direktorije %WinDir% i onaj u kojem se drže datoteke preuzete s mreže KaZaA stavlja datoteke s nazivom koji je kombinacija sljedećih naziva (npr. "Winzip Upload.EXE"):

  • Virus Generator
  • Magic Mushrooms Growing
  • Cooking with Cannabis
  • Hallucinogenic Screensaver
  • My naked sister
  • XXX Pictures
  • Sick Joke",
  • XXX Video
  • XP update
  • Emulator PS2
  • XboX Emulator
  • HardPorn
  • Jenna Jameson
  • Hotmail hacker
  • Yahoo hacker
  • AOL hacker
  • fixtool
  • cleaner
  • removal tool
  • remover
  • Sircam
  • Bugbear
  • installer
  • upload
  • hacked
  • key generator
  • Windows Media Player
  • GetRight FTP
  • Download Accelerator
  • Winamp
  • WinZip
  • WinRar
  • KaZaA media desktop
  • Kazaa Lite

Kreira nove stavke u registry-ju:.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<xyz>.exe

kako bi osigurao aktiviranje nakon aktiviranja Windowsa.

  • HKCR\exefile\shell\open\command
  • HKCR\regfile\shell\open\command
  • HKCR\comfile\shell\open\command
  • HKCR\batfile\shell\open\command
  • HKCR\piffile\shell\open\command
  • HKCR\scrfile\shell\open\command
  • HKCR\scrfile\shell\config\command

i nakon toga prijavljuje lažnu grešku kod pokretanja pripadnih vrsta datoteka:

Ako naziv datoteke počinje slovom P, Q, U ili I prikazat će jednu od sljedećih poruka:

  • "Microsoft Internet Update Pack This update does not need to be installed on this system"
  • "This will install Microsoft Security Update. Do you wish to continue?"

Može prikazati poruku ili sliku koja navodi na pomisao da se radi o instalacijskom paketu. U naslovu (title bar) može stajati:

  • "Searching for installed components ..."
  • "Extracting files ..."
  • "Copying files ..."
  • "Updating registry ..."

Ukoliko pronađe aktivan debugger prikazat će sljedeću poruku:

Šalje svoju kopiju na elektroničke adrese koje pronalazi u raznim datotekama (. mbx, .dbx, ...) na zaraženom računalu. Pri slanju koristi svoj SMTP mehanizam.

Polje "From:"

U ovo polje može staviti lažne podatke od kombinacije sljedećih riječi:

unknown, Microsoft, Support, Assistance, Services, Bulletin, Customer, Public, Technical, Center, Department, Section, Division, Security, Network, Internet, Program, Corporation, Microsoft, MS, Domain, Server, Receiver, Recipient, Client, Receiver, Recipient, Puremail, America, Netmail, Freemail, Bigfoot, Rocketmail, Routine, Program, Daemon, Automat, Engine, Service, Mailer, master, System, Service, Delivery, Storage, Message, Email, Postmaster, Administrator, bulletin, confidence, advisor, updates, technet, support, newsletters, ms, msn, microsoft, msdn, .com, .net

Primjer: MS Support Department <xyz>@support.microsoft.com

Polje "To:"

Upisuje se tekst iz kombinacije sljedećih riječi:

User, Client, Consumer, Partner, Customer, Commercial, Corporation, Microsoft, MS

Polje "Subjekt"

Odabire slučajno od sljedećih kombinacija:

Corp., Corporation, comes, which, Internet Explorer, Windows, update, package, correction, corrective, security, critical, internet, important, these, Install, Apply, Watch, Take a look at, Look at, Try on, Taste, Prove, Check out, Check, Upgrade, Update, Critical, Latest, Newest, Current, M$, MS, from, comes, came, which, this, that, these, the, See, Watch, Use, Apply

Polje "Message":

Kombinacija sljedećih riječi:

  • MS
  • Microsoft
  • Customer,
  • this is the latest version of security update, the
  • Cumulative Patch update which
  • This update includes the functionality
  • of all previously released patches.
  • computer
  • system
  • on your
  • executable
  • to run
  • malicious user
  • attacker
  • the most serious of which could
  • allow an
  • from these vulnerabilities
  • maintain the security of your computer
  • protect your computer
  • continue keeping your computer secure
  • Install now to
  • vulnerabilities
  • newly discovered
  • as well as three
  • all known security vulnerabilities affecting
  • MS Internet Explorer, MS Outlook and MS Outlook Express
  • eliminates
  • resolves

U attachment (veličine oko 100KB) stavi svoju kopiju pod jednim od sljedećih naziva:

Patch, Update, Upgrade, Install ili slučajno odabranog naziva, a za nastavak se odabire jedna od sljedećih vrsta: EXE, COM, PIF, BAT, SCR ili ZIP.

Uklanjanje

Zaštita od infekcije ili aktivnosti crva

  • redovita obnova Sophos Anti-Virusa
  • redovita primjena sigurnosnih zakrpa i servisnih paketa za operativne sustave i aplikacije
  • upotreba programa za antivirusnu provjeru elektroničke pošte na poslužiteljima
  • onemogućenje slanja / primanja privitaka s nastavcima EXE, COM, PIF i sl.
  • poduka korisnika o sigurnom načinu korištenja Interneta
  • pravilno podešavanje administriranje mreže i računala

Ostalo

Još podataka možete pronaći na sljedećim stranicama:

Sažetak svojstava

Širenje
E-MailR
Vlastiti SMTPR
Network shareR
P2PR
IRCR
UsenetR
Aktivnost
Zaustavlja SophosR
Mijenja registryR
Kreira / Mijenja datotekeR
Otvara backdoorQ
Otvara portQ
KeyLoggingQ
Automatska obnovaQ
Uklanjanje
Čišćenje / uklanjanje (DOS / Safe mode + Cmd prompt)R
Promjena registry-ja (regedit.exe -> regedit.com)R
Čišćenje datotekaQ
Uklanjanje datotekaR
Zaštita
Zakrpa (MS01-020)R
Filtriranje sadržaja na gateway-uR
VatrozidR
Poduka korisnikaR
Ispravna administracijaR