Вирус-червь со встроенной троянской программой типа "бекдор". Распространяется по локальным и глобальным сетям используя протокол NETBIOS, предоставляемый MS Windows. Является приложением Windows (PE EXE-файл),
имеет размер около 28K.
Инсталляция
При запуске копирует себя в каталог Windows c именем "scrsvr.exe" и регистрирует этот файл в команде автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = %worm name%
Затем
червь удаляет свой первоначальный файл, из которого был запущен.
Распространение
Для того, чтобы найти компьютеры-жертвы червь сканирует подсети по порту 137 (NETBIOS Name Service). Сканируются IP-адреса следующих сетей:
подсеть текущего (зараженного)
компьютера (aa.bb.cc.??)
две ближайшие подсети текущего компьютера (aa.bb.cc+1.?? , aa.bb.cc-1.??)
случайно выбранную подсеть (за исключением некоторых "запрещенных" к сканированию сетей)
Если при сканировании случайной подсети какой-либо IP-адрес "отзывается" (т.е. такой адрес
соответствует реальному компьютеру), то червь также сканирует две ближайшие подсети данного IP-адреса.
Если со сканируемого IP-адреса приходит "ответ", то червь проверяет в нём определенне поле. Если там указано, что на данном компьютере запущена служба распределенного использования
файлов и принтера (File and Print Sharing), то червь запускает процедуру заражения этого компьютера (удаленного хоста).
При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального вида. В этих пакетах передаются следующие команды:
Устанавливается соединение с ресурсом \\hostname\C (где "hostname" - имя компьютера-жертвы, которое определяется по "ответу" с него при сканировании)
Если ресурс закрыт паролем, то червь перебирает все односимвольные пароли.
При успешном соединении с ресурсом червь передаёт на него
свой EXE-файл, при этом в команде указывается полное имя файла, в который EXE-файл будет сохранён - WINDOWS\scrsvr.exe
Затем червь считывает с компьютера-жертвы файл WINDOWS\win.ini и записывает его на локальный диск под именем C:\TMP.INI
В этот INI-файл записывается команда
авто-запуска червя (команда "run=" в секции [windows]) и результат передаётся обратно на компьютер-жертву.
В результате приёма-передачи этих пакетов на удалённом компьютере появляются два файла:
\WINDOWS\scrsvr.exe - копия червя \WINDOWS\win.ini - INI-файл Windows с командой
авто-запуска червя.
В результате при очередном рестарте компьютера червь получает управление.
Бекдор
Бекдор-троянец открывает Web-сайт www.opasoft.com file и выполняет следующие действия:
скачивает и запускает свою новую версию (если таковая там
присутствует)
скачивает и выполняет специальные скрипт-файлы
Новая версия червя скачивается в файл "scrupd.exe", который потом запускается на выполнение и замещает текущую версию червя.
При работе бекдор-процедура использует два свои файла данных: "ScrSin.dat" и
"ScrSout.dat". Эти файлы зашифрованы сильным крипто-алгоритмом.
Поскольку сервер www.opasoft.com более недоступен, то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.
Технические детали
Для того, чтобы исключить повторный запуск своих копий
червь создаёт Windows mutex с именем "ScrSvr31415".
Заражению подвергаются компьютеры с установленной MS Windows 9x. Возможность заражения NT-систем не подтверждена.
Одна из версий червя ведет логи сканируемых и заражаемых компьютеров в файлах "ScrLog" и "ScrLog2".
Удаление
Широкое распространение данного червя произошло по той причине, что он использует стандартные установки Windows:
распространение происходит по стандартному протоколу NETBIOS
имя ресурса "\\hostname\C" предлагается по умолчанию при открытии доступа к
диску C:
по умолчанию пароль на доступ к ресурсу не запрашивается
"ленивые" пользователи (каких немало) либо вообще не устанавливают пароль на доступ к ресурсу, либо делают его однобуквенным
Для того, чтобы избавиться от червя и защитить компьютер от повторных заражений
достаточно:
либо запретить доступ к ресурсам, либо установить достаточно длинный пароль
удалить EXE-файл червя
удалить команду "run=" в файле WIN.INI (см. выше)
удалить команду "run" в системном реестре (см. выше)
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
