Интернет-червь Gibe

Gibe — это вирус-червь, который распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 123K, написан на Visual Basic.

Зараженные письма содержат следующие данные, строки в полях «From» и «To» являются ложными:

From: «Microsoft Corporation Security Center»
To: «Microsoft Customer» <"customer@yourdomain.com">
Subject: Internet Security Update
Reply-To:

Имя вложения:

q216309.exe

Текст сообщения выглядит как информационное предупреждение от компании Microsoft, строка %DayMonthYear% является датой, например: «9 Mar 2002″, » «9 Feb 2002».

Microsoft Customer,

this is the latest version of security update, the
«%DayMonthYear% Cumulative Patch» update which eliminates all

known security vulnerabilities affecting Internet Explorer and
MS Outlook/Express as well as six new vulnerabilities, and is
discussed in Microsoft Security Bulletin MS02-005. Install now
to
protect your computer from these vulnerabilities, the most serious of which
could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities:

— «Incorrect MIME Header Can Cause IE to Execute E-mail Attachment» vulnerability.
If a malicious user sends an affected HTML e-mail or hosts an affected
e-mail on a Web site, and a user opens the e-mail or visits the Web site,

Internet Explorer automatically runs the executable on the user’s computer.

— A vulnerability that could allow an unauthorized user to learn the location
of cached content on your computer. This could enable the unauthorized
user to launch compiled HTML Help (.chm) files that contain shortcuts to
executables, thereby enabling the unauthorized user to run the executables
on your computer.

— A new variant of the «Frame Domain Verification» vulnerability could enable a
malicious Web site operator to open two browser windows, one in the Web site’s
domain and the other on your local file system, and to pass information from
your computer to the Web site.

— CLSID extension vulnerability. Attachments which end with a CLSID file extension
do not show the actual full extension of the file when saved and viewed with
Windows Explorer. This allows dangerous file types to look as though they are simple,
harmless files — such as JPG or WAV files — that do not need to be blocked.

System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don’t need to do anything after installing this item.

For more information about these issues, read Microsoft
Security Bulletin MS02-005, or visit link below.

http://www.microsoft.com/windows/ie/downloads/critical/default.asp

If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings,
MS Internet Security Center.
—————————————-
—————————————-
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция — сообщения

При запуске червь выводит несколько ложных сообщений, чтобы ввести пользователя в заблуждение. Во-первых, червь проверяет, заражена ли система. Если червь уже проник в систему (т.е. пользователь повторно запустил зараженный файл), то выводится сообщение:

После этого червь прекращает свою работу. Зараженность системы червь проверяет по ключу реестра, который сам и создает при первом запуске:

HKLMSoftwareAVTechSettings
Installed = … by Begbie

Если такой ключ присутствует, то червь считает, что система уже заражена.

На незараженной системе червь выводит другое сообщение:

Вне зависимости от ответа пользователя червь затем устанавливает себя и свои компоненты в заражаемую систему. Однако, при ответе «No» червь это делает скрытно, а при ответе «Yes» червь имитирует инсталляцию апдейта от Microsoft.
Для этого он выводит следующие сообщения:

В том случае, если при «распаковке апдейта» пользователь нажимает «Cancel», червь всё равно заражает систему, но в конце заражения выводит сообщения:

Инсталляция — компоненты

При инсталляции червь копирует себя два раза в каталог Windows с именами:

q216309.exe
vtnmsccd.dll

и в системный каталог Windows с «.dll»-именем:

vtnmsccd.dll

Червь также создает в каталоге Windows три свои дополнительные компоненты и запускает их на выполнение:

BcTool.exe
WinNetw.exe
GfxAcc.exe

Две из этих компонент также регистрируются в ключах авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
LoadDBackUp = %WindowsDir%BcTool.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
3Dfx Acc = %WindowsDir%GfxAcc.exe

Эти компоненты отвечают за рассылку зараженных писем и за поиск электронных адресов, по которым письма будут рассылаться.

Рассылка писем

При рассылке зараженных писем червь использует функции MS Outlook.

Для поиска адресов электронной почты червь использует несколько методов:

• считывает их из адресной книги MS Outlook.
• ищет на диске файлы *.htm, *.html, *.asp, *.php и ищет в них строки,являющиеся адресами электронной почты.
• использует поисковые системы Интернет. При этом червь генерирует случайную строку, похожую на имя-фамилию, обращается в поисковую систему с запросом о поиске данной персоны и, если запрос успешен, определяет электронный адрес.
  Для подобного метода поиска новых адресов используются две поисковые системы:

http://email.people.yahoo.com
http://www.switchboard.com