Kezdolap  
 
   


W32/Korvar

Adatlap

Megjelenés dátuma: 11/24/2002
Eredete: Korea
Hossza: 91,086
Típusa: Vírus
Altípusa: Worm
Szükséges adatbázis: 4235
Szükséges keresőmotor: 4.1.60
DAT kibocsátás dátuma: 11/27/2002

Tulajdonságok

A programféreg elektronikus levelekben terjed:

Tárgy: Változó
Levéltörzs: Változó
Csatolt állományok: (3 db)

. WIN tetszőleges karakterek.TXT (12.6 KB) MUSIC_1.HTM
. WIN tetszőleges karakterek.GIF (120 byte) MUSIC_2.CEO
. WIN tetszőleges karakterek.PIF

A programféreg kétféleképpen aktivizálódhat:

Automatikusan: kihasználva az Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) biztonsági hiányosságot. Ekkor a fertőzött levél olvasásakor automatikusan lefut a víruskód.

A .HTM kiterjesztésű csatolt állomány futtatásával: a "Microsoft VM ActiveX Component" Vulnerability biztonsági hiányosság kihasználásával a worm regisztrálja a .CEO kiterjesztést a regisztrációs adatbázisban (Ennek hatására .CEO állomány futtatható lesz úgy, mint egy.EXE állomány):

  • HKEY_CLASS_ROOT\.CEO\Default="exefile"
  • HKEY_CLASS_ROOT\.CEO\Content Type="application/x-msdownload"

A .CEO kiterjesztésű állomány futásának eredményeként bemásolja magát a WINDOWS SYSTEM (%SysDir%) könyvtárba: WINtetszőleges karakter.PIF néven.

Ezután a következő registry bejegyzéseket készíti:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "(Default)"= Az első fertőzött állomány
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run " WIN tetszőleges karakterek"=C:\WINDOWS\SYSTEM\WIN tetszőlegeskarakter.PIF
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "(Default)"= Az első fertőzött állomány
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "WIN tetszőleges karakterek"=C:\WINDOWS\SYSTEM\WINtetszőleges karakter.PIF
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices "(Default)"= Az első fertőzött állomány
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices "WIN tetszőleges karakterek "=C:\WINDOWS\SYSTEM\WINtetszőleges karakter.PIF

A programféreg futásakor az alábbi ablak jelenik meg:

Az OK gomb lenyomása után a programféreg megpróbálja letörölni az összes állományt a merevlemezről. Továbbá egy W32/Funlove vírust másol a SYSTEM könyvtárba AAVAR.PIF néven. Ezt az állományt a jelenlegi adatbázisok (4235) W32/Funlove.dr néven detektálják. (Az állomány által megfertőzött összes többi állományt a jelenlegi adatbázisok (4235) W32/Funlove.gen néven azonosítják.) A WINtetszőleges karakterek.TMP nevű állományok szintén a W32/Korvar jelenlétére utalnak.

Tünetek

  • A számítógép lassulása
  • A WIN*.PIF állományok jelenléte a WNDOWS SYSTEM könyvtárban
  • W32/Funlove.gen és W32/Funlove.dr vírusok jelenléte
  • A már ismertetett registry bejegyzések jelenléte

A fertőzés menete

A programféreg mailhez csatolt állományként terjed. Automatikus lefut, kihasználva az ismert Microsoft Internet Explorer biztonsági hiányosságokat. Miután a víruskód lefutott, a worm megpróbálja hatástalanítani a biztonsági szoftvereket (víruskeresők, személyi tűzfalak) és megpróbálja kitörölni az összes állományt a merevlemezről. Végül a számítógépen talált e-mail címekre tovább küldi magát. (SMTP)

Eltávolítási utasítások

4235-ös adatbázisok és 4160-as keresőmotor használata a detektáláshoz. Minden állomány törlése, amely W32/Korvar vírussal fertőzött.

Egyéb elnevezések

I-Worm.Winevar (AVP)
W32.HLLW.Winevar (Symantec)
Win32.HLLM.Seoul (Dr. Web)
WORM_WINEVAR.A (Trend)

 

 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2002.