Касперский.ру, 16.10.2002

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении троянской программы "Netdex", использующую брешь в системе безопасности Microsoft Virtual Machine. Эта особенность позволяет "троянцу" незаметно для пользователя загружать на компьютер вредоносные программы и выполнять их.

Анализ кода программы указывает на, скорее всего, ее российское происхождение. В частности, в ней присутствует строки на русском языке и ссылки на домены из зоны RU. На данный момент "Лаборатория Касперского" получила всего лишь несколько сообщений о фактах заражения "Netdex" и уже предприняла необходимые меры для предотвращения распространения вирусной эпидемии.

"Netdex" представляет собой сложную многокомпонентную вредоносную программу, которая проникает на компьютер при посещении пользователем зараженного Web-сайта. Пользуясь брешью в системе безопасности Microsoft Virtual Machine (Microsoft VM ActiveX Component Vulnerability), содержащаяся на Web-сайте скрипт-программа загружает на компьютер-жертву основные компоненты "Netdex". Они, в свою очередь, внедряют на компьютер троянскую программу типа "backdoor" (утилита несанкционированного администрирования), которая позволяет злоумышленникам незаметно управлять системой (создавать, удалять, копировать файлы, отсылать письма, выводить на экран сообщения и др.). Перечень backdoor-команд "Netdex" загружает с того же Web-сайта.

"Лаборатория Касперского" предприняла все необходимые меры для закрытия вредоносного сайта, таким образом, ликвидировав основной очаг заражения. Однако это не значит, что компьютерам, на которых не установлена заплатка для упомянутой выше бреши, больше ничего не грозит. "Во-первых, злоумышленники могут запросто открыть другой, а то и не один похожий сайт, "благо" мест для анонимных авторских страниц достаточно. Во-вторых, вредоносная скрипт-программа с этого Web-сайта может рассылаться и по электронной почте. Наконец, "Netdex" имеет функцию обновления, так что автор "троянца" может перенаправить уже зараженные компьютеры на выполнение команд с другого Web-сайта", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В связи с этим пользователям Internet Explorer версий 3.0 - 5.5 рекомендуется установить "заплатку" для системы безопасности Windows, которая доступна на сайте производителя по адресу: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp.

Процедуры защиты от "Netdex" уже добавлены в базу данных Антивируса Касперского.

Более подробное описание данной вредоносной программы доступно в Вирусной Энциклопедии Касперского.

-----

Вирусная энциклопедия
Троянские кони - Backdoor
Backdoor.Netdex

Многокомпонентная троянская программа класса "бекдор". Позволяет удаленному хакеру контролировать зараженные компьютеры. Для обеспечения контроля скачивает скрипт-программы с сайта http://www.twocom.ru, выполняет их и результат отсылает обратно на этот Web-сайт.

Основной компонентой бекдора является Java-скрипт с именем "zshell.js". Прочими компонентами являются:

a.com - DOS COM-файл (вспомогательный файл)
netd.exe - Win32 EXE-файл (пересылка данных)
o.js, installer.php - Java-скрипт (инсталлятор)
repost.html, sh.php - HTML-страница с Java-скриптом (дополнительный компонент)

Заражение
Происходит при посещении указанного Web-сайта. Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор.

При этом используется брешь в защите виртуальной машины, исполняющей скрипты ("Microsoft ActiveX Component" Vulnerability). См. http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

При запуске бекдор-скрипт регистрирует себя в секциях авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Time Zone Synchronization = wscript "%Cookies folder%\zshell.js"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Time Zone Synchronization = wscript "%Cookies folder%\zshell.js"

Для маскировки основная Web-страница бекдора содержит тексты:

Зачем ты пришел сюда?
Для начала введем пароль

При вводе любого пароля выводится другое (нецензурное) сообщение:
Будь внимателен и не пытайся на%бать

Бекдор

Основной компонент бекдора представляет собой скрипт-программу на языке Java Script. Раз в минуту он скачивает со своего сайта набор команд предназначенных для этого компьютера и исполняет их. Набор команд достаточно ограничен:

запустить команду Windows или указанный файл
вывести сообщение на экран компьютера
обновить себя
отправить электронное письмо от имени этого компьютера
завершить работу
Технические детали
Заражение

Заражение компьютера происходит в несколько этапов.

Этап 1 - открытие зараженной Web-страницы

При запуске Java-скрипт на головной странице сайта (используя брешь в защите) создает следующие файлы на компьютере:
создает: во временном каталоге Windows - DOS COM-файл "a.com"
создает и запускает: в каталоге Cookies - Java-скрипт "zshell.js"

В результате на диске оказываются две стартовые компоненты бекдора:

"%TMP%\a.com"
"%Cookies folder%\zshell.js"

Этап 2 - создание основных компонент

При старте на этапе 1 скрипт "zshell.js" выполняет два основных действия:

создает компоненту пересылки данных - Win32 EXE-файл "netd.exe". Для этого запускается файл "a.com", который считывает из своего тела, расшифроваывает и сохраняет на диск файл "netd.exe".
Затем этот файл копируется в Windows-каталог "Cookies".
Данная компонента "netd.exe" затем используется как утилита приема-передачи данных. Поддерживаются два протокола - SMTP и HTTP.
скачивает с Web-сайта файл "install.php", сохраняет его с именем "o.js" и запускает его.
При этом использует команду "GET HTTP" и услуги компоненты "netd.exe"

Этап 3 - инсталлирование бекдор-компонент

При старте на этапе 2 скрипт "o.js" выполняет следующие действия:

1. Скачивает с Web-сайта файл "sh.php", сохраняет его под именем "zshell.js" и запускает его. Это - основная компонента бекдора.
2. Создает ключи авто-запуска системного реестра, которые стартую бекдор-скрипт при каждой перезагрузке Windows (см. выше).
3. Создает дополнительный "авто-рестарт" файл-скрипт. Для этого создается новый файл "repost.html", в который записывается скрипт-программа запуска "zshell.js".

Файл "repost.html" создается в каталоге "Cookie":

"%Cookies folder%\repost.html"
и регистрируется в ключе реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\PostNotCached
В некоторых случаях Internet Explorer автоматически выполняет данный скрипт, в результате чего бекдор получает управление.

Технические детали

Команды бекдора

Команды получает инструкцией "GET /cmds/?ip=%uniqueId%&ver=%verTimeStamp%"

Полный перечень команд:

EXIT - завершить работу
NOBREAK - пустышка (ничего не делает)
SETCMDURL - установить новый хост, с которым общаться
RUN - выполнить команду (команда в параметре)
SENDMAIL - отослать письмо (тело письма в параметре), SMTP сервер берет из "HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Server" или использует "mail.ru"
UPDATE - скачивает файл указанный параметром и записывает вместо "%Cookies folder%\zshell.js"
ALERT - выводит на экран сообщение
SLEEP - ждет N минут (N в параметре)
SENDCONFIRM - отправляет "да, я жив"
RUNTHESELF - перезапускает себя запуском "%Cookies folder%\zshell.js"