Email-Worm.Win32.Cholera

Вирус-червь, поражает компьютеры под управлением MS Windows. Распространяется через сеть Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде эелектронного письма с вложенным EXE-файлом SETUP.EXE.

Технические детали

Вирус-червь, поражает компьютеры под управлением MS Windows. Распространяется через сеть Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде эелектронного письма с вложенным EXE-файлом SETUP.EXE. Сообщение имеет заголовок (Subject) "Ok...", а само сообщение состоит только из символа улыбки:


:-)

Зараженный файл SETUP.EXE является исполняемым файлом около 40Кб длиной, написанном на языке программирования Microsoft C++. Большую часть исходного кода занимают библиотеки C++, а непосредственно сам червь занимает около 7Кб.

Червь получил свое название из-за строки в своем коде:

CH0LERA - Bacterium BioCoded by GriYo / 29A

Эта строка, как и все остальные данные червя зашифрованы.

Инталирование в систему

Сразу же после запуска червя (т.е. после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке Windows, червь добавляет команду "Run=" в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного рестра.

Для поиска директории Windows червь не использует соответствующие функции Windows. Вместо этого он сканирует все локальные диски на компьютере и ищет подкаталоги со следующими именами: \WINDOWS, \WIN95, \WIN98, \WIN, \WINNT. При обнаружении такого каталога червь_ищет в ней файл WIN.INI. Если этот файл найден, червь инсталирует себя в этот каталог и регистрирует в файле WIN.INI или реестре.

Таким образом, червь может создать несколько своих копий на одном компьютере, поразив все установленные версии операционной системы Windows. Это означает, что в случае, если на компьютере установлена система загрузки нескольких версий Windows, то червь активизируется при запуске каждой из них.

Для сокрытия своей деятельности в момент своей инсталляци червь показывает диалоговое окно следующего содержания:

Setup
Cannot open file: it does not appear to be a valid archive.
If you downloaded this file, try downloading the file again.
[ OK ]"

Дальнейшее распространение

При следующем запуске Windows червь активизируется посредством команды "Run=" в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая - через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно.

Первая из подпрограмм обеспечивает распространение червя по локальной компьютерной сети. Она собирает информацию о всех сетевых дисках, ищет на них каталоги Windows и, в случае, если таковые обнаружены, копирует в них зараженный файл RCPSRV.EXE и регистрирует червя в файле WIN.INI или реестре. В результате, при следующей загрузке вместе с Windows на удаленном компьютере запускается и сам червь, готовый распространяться дальше.

Вторая подпрограмма посылает зараженные сообщения по электронной почте. Для этого червь использует протокол SMTP. Отличительная черта распространения червя по электронной почте состоит в том, что он рассылает себя, используя прямое соединение. Это определяет независимость способности червя к распространению от типа установленной на компьютере программы для обработки электронной почты.

Раз в шесть секунд эта подпрограмма определяет все активные программы и ищет среди них следующие приложения для работы с Интернет: Outlook, CuteFTP, Internet Explorer, Telnet, Mirc. Обнаружение любой из перечисленных программ дает червю основание полагать, что данный компьютер подключен к сети Интернет (это необходимо для используемого червем прямого SMTP соединения). Вслед за этим червь извлекает из системного реестра адрес SMTP сервера и адрес электронной почты зараженного компьютера. На основании этих данных он создает новое сообщение, содержащее вложенный инфицированный файл SETUP.EXE и отсылает его. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.