Universe: несбывшиеся надежды

I-Worm.Unis (Universe) — интернет-червь, распространяющийся вложениями в письма электронной почты, а также через IRC-каналы (чаты). Червь способен заражать RAR-архивы, дописывая в них свою копию.

Функциональность червя основана на так называемых плагинах (подпрограммы-компоненты). Главный компонент червя (Win32 EXE-файл размером около 12K), рассылающий сообщения по электронной почте и в IRC-каналы, является на самом деле только «загрузчиком», который открывает Web-страницу http://hyperlink.cz/benny/viruses/, скачивает оттуда другие компоненты (плагины) и затем выполняет их.

На настоящий момент известны пять плагинов червя. Все они (основной EXE-файл и плагины) сжаты компрессором TeLoc (сжимает Win32 PE EXE файлы).

Код червя содержит большое количество ошибок, из-за этого инфицированные файлы в большинстве случаев «подвешивают» систему, и как следствие, письма червя не могут быть отправлены адресатам. Таким образом, червь с громким именем Universe (Вселенная) имеет немного шансов распространиться по миру.

Главный компонент

После выполнения главного EXE-файла червя, он остается в системе, как сервис (скрытое приложение), копирует себя в системный каталог Windows под именем MSVBVM60.EXE (не путать с MSVBVM60.DLL — библиотекой Windows VisualBasic) и регистрирует эту копию в системном реестре Windows в секции автозапуска:

SOFTWAREMicrosoftWindowsCurrentVersionRun

Затем червь открывает Web-страницу «http://hyperlink.cz/benny/viruses» (где-то в Чехии), получает оттуда плагины (плагины занесены в специальный файл на этом сайте) и сохраняет их в системном каталоге Windows под именами:

MSVBVM6A.DLL
MSVBVM6B.DLL
MSVBVM6C.DLL
MSVBVM6D.DLL
и т.д.

Все плагины зашифрованы с помощью RSA-библиотеки Windows. Червь сначала расшифровывает их и затем активизирует. После этого червь на время «засыпает» (на случайно выбранное время до 5-ти минут), а после повторяет все заново.

Главный компонент червя содержит текст:

[I-Worm.Universe] by Benny/29A

«Payload»-плагин (проявления червя)

В зависимости от системного таймера плагин выполняет (или не выполняет) одно из следующих действий:

1. Меняет настройки MS Explorer: устанавливает стартовую, локальную, поисковую и «what’s new» страницы на «http://www.therainforestsite.com»
2. Скачивает файл UNIVERSE.JPG с того же сайта и регистрирует его как «обои» рабочего стола (Windows desktop WallPaper).
   
   
   

3. Учиняет беспорядок на Рабочем столе (Desktop), хаотично передвигая его блоки.

«Feedback»-плагин (отчет)

Этот плагин отсылает отчеты об инфицированных компьютерах автору вируса на адрес «benny_29a@hushmail.com». Письмо содержит имя инфицированной машины в интернете, а также дату и время инфекции.

«Mail»-плагин (рассылка писем)

Этот плагин сканирует все HTML-файлы в интернетовском cache-каталоге, берет оттуда адреса электронной почты и посылает по ним сообщения. Письма червя выглядят следующим образом:

From: «Microsoft Support» [support@microsoft.com] Reply-To: «Peter Szor» [pszor@symantec.com] To: «Mikko Hypponen» [mikko.hypponen@f-secure.com] Subject: Virus Alert
Присоединенный файл: uniclean.zip
Text:

Dear user

F-Secure, Symantec and Microsoft, top leaders in IT technologies have discovered one very dangerous Internet worm called I-Worm.Universe in the wild. Author of this viral program is well known hacker from Europe under «Benny» nickname from 29A virus writting group.

Universe is fast-spreading worm that already destroyed computer systems in FBI and Microsoft. It is heavilly encrypted and very complex. It consists from many independed parts called «modules», which are very variable — every second hour is producted one new module, that completelly changes behaviour of worm, including anti-detection tricks.

You should check your system by our anti-virus attached to this mail. All reports please send to our mail address: universe@microsoft.com and/or universe@f-secure.com

Have a nice day,

F-Secure, Symantec and Microsoft, top leaders in IT technologies.

Присоединенный файл на самом деле является главным компонентом червя («загрузчиком»), а вовсе не ZIP-архивом. И если пользователь инфицированной машины попытается открыть его из письма, то архиватор сначала стартует, но затем выдаст сообщение, что либо архивный файл запорчен, либо неверный формат файла. В результате, червь не способен запускаться из вложений в стандартных конфигурациях Windows.

«mIRC»-плагин (заражение IRC)

В директорию C:MIRC32 (если она существует) плагин записывает новый файл SCRIPT.INI, который содержит инструкции посылать «загрузчик» червя каждому пользователю, подключающемуся к зараженному IRC-каналу, а также содержит текст:

;Default mIRC32 script
;** DO NOT EDIT **

«Rar»-плагин (заражение RAR-архивов)

Ищет все *.RAR архивы в MS Explorer в каталоге Download и добавляет свою копию с именем SETUP.EXE в каждый найденный архив.