"Лаборатория Касперского", 24 октября

"Лаборатория Касперского", ведущий российский разработчик антивирусных систем безопасности, сообщает об обнаружении новой модификации сетевого червя "Opasoft" (также известного как "Opaserv" и "Brasil"). "Лаборатория Касперского" уже получила несколько сообщений о регистрации случаев заражения данной вредоносной программой.

Главное отличие новой модификации "Opasoft" - упаковка утилитой сжатия файлов UPX и утилитой шифрации PCPEC. Это сократило размер файла-носителя червя, изменило его внешний вид, однако не поменяло функциональность: она практически полностью соответствует оригинальной версии "Opasoft". Благодаря уникальной технологии распаковки файлов, Антивирус Касперского стал единственной антивирусной программой, которая защищает компьютеры от новой модификации червя без необходимости обновления базы данных вирусных сигнатур. Все продукты "Лаборатории Касперского" корректно определяют тип упаковщика, извлекают реальное содержимое файлов и находят в них вредоносную программу. Таким образом, пользователи Антивируса Касперского были защищены от модифицированного "Opasoft" априори, т.е. еще до его фактического появления.

Проблема архиваторов и утилит сжатия стоит довольно остро в современной компьютерной вирусологии. Для того чтобы сделать вредоносную программу неузнаваемой для антивируса, достаточно упаковать ее "компрессором", не меняя ее фактический функционал. После этого разработчику антивируса необходимо будет внести в антивирусную базу процедуры обнаружения этой упакованной версии, на что иногда уходит до нескольких дней. За это время вредоносная программа может проникнуть на компьютеры пользователей и нанести непоправимый вред.

"Эта проблема является одной из ключевых в борьбе с новыми вирусами. Их авторы давно поняли, как без усилий "обхитрить" антивирусы, и широко используют методы упаковки и шифрации, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". - Именно поэтому мы решили идти другим путем: защищать пользователей от каждой конкретной модификации вируса, поддерживая используемые утилиты сжатия и шифрования". Практика показывает, что такой подход наиболее эффективен: Антивирус Касперского много раз оказывался единственным антивирусом, обнаруживавшим вредоносные программы без обновления антивирусной базы данных (например, ZippedFiles, Nimda, Lentin и др.).

На сегодняшний день количество поддерживаемых Антивирусом Касперского различных архиваторов и утилит сжатия - 671: больше чем у любого из ныне существующих антивирусов. Благодаря этой технологии наши пользователи защищены от вредоносных программ внутри файлов, созданных этими утилитами.

Более подробное описание "Opasoft", а также его новой модифицированной версии доступно в Вирусной Энциклопедии Касперского.

Worm.Win32.Opasoft (aka Opaserv)
Worm.Win32.Opasoft.a (aka Brasil)

Вирус-червь со встроенной троянской программой типа "бекдор". Распространяется по локальным и глобальным сетям используя протокол NETBIOS, предоставляемый MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 28K.

Несколько версий червя были обнаружены в "диком виде" в конце сентября 2002, а в начале октября 2002 червь вызвал "эпидемию" по всему миру.

Инсталляция

При запуске копирует себя в каталог Windows c именем "scrsvr.exe" и регистрирует этот файл в команде авто-запуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ScrSvr = %worm name%

Затем червь удаляет свой первоначальный файл, из которого был запущен.

Распространение

Для того, чтобы найти компьютеры-жертвы червь сканирует подсети по порту 137 (NETBIOS Name Service). Сканируются IP-адреса следующих сетей:
подсеть текущего (зараженного) компьютера (aa.bb.cc.??)
две ближайшие подсети текущего компьютера (aa.bb.cc+1.?? , aa.bb.cc-1.??)
случайно выбранную подсеть (за исключением некоторых "запрещенных" к сканированию сетей)

Если при сканировании случайной подсети какой-либо IP-адрес "отзывается" (т.е. такой адрес соответствует реальному компьютеру), то червь также сканирует две ближайшие подсети данного IP-адреса.

Если со сканируемого IP-адреса приходит "ответ", то червь проверяет в нем определенне поле. Если там указано, что на данном компьютере запущена служба распределенного использования файлов и принтера (File and Print Sharing), то червь запускает процедуру заражения этого компьютера (удаленного хоста).

При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального вида. В этих пакетах передаются следующие команды:

Устанавливается соединение с ресурсом \\hostname\C (где "hostname" - имя компьютера-жертвы, которое определяется по "ответу" с него при сканировании)

Если ресурс закрыт паролем, то червь перебирает все односимвольные пароли.

При успешном соединении с ресурсом червь передает на него свой EXE-файл, при этом в команде указывается полное имя файла, в который EXE-файл будет сохранен - WINDOWS\scrsvr.exe

Затем червь считывает с компьютера-жертвы файл WINDOWS\win.ini и записывает его на локальный диск под именем C:\TMP.INI

В этот INIT-файл записывается команда авто-запуска червя (команда "run=" в секции [windows]) и результат передается обратно на компьютер-жертву.

В результате приема-передачи этих пакетов на удаленном компьютере появляются два файла:
\WINDOWS\scrsvr.exe - копия червя
\WINDOWS\win.ini - INI-файл Windows с командой авто-запуска червя.

В результате при очередном рестарте компьютера червь получает управление.

Подбор паролей

При подборе паролей червь использует брешь в защите Win9x: см. http://www.nsfocus.com/english/homepage/sa_05.htm

Реализация проверки пароля NETBIOS в Win9x такова, что проверяется число символов, присланное "клиентом". То есть, если "клиент" устанавливает длину пароля в 1 символ и посылает пакет с паролем (в Plaintext-формате) на сервер, то сервер будет проверять только первый байт пароля и, если он совпадет, аутентификация будет считаться успешной. Таким образом, атакующей системе достаточно перебрать варианты одно-символьного пароля.

Заплатка для данной бреши в системе безопасности доступна по адресу:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Бекдор

Бекдор-троянец открывает Web-сайт www.opasoft.com file и выполняет следующие действия:
скачивает и запускает свою новую версию (если таковая там присутствует)
скачивает и выполняет специальные скрипт-файлы

Новая версия червя скачивается в файл "scrupd.exe", который потом запускается на выполнение и замещает текущую версию червя.

При работе бекдор-процедура использует два свои файла данных: "ScrSin.dat" и "ScrSout.dat". Эти файлы зашифрованы сильным крипто-алгоритмом.

Поскольку сервер www.opasoft.com более недоступен, то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.

Технические детали

Для того, чтобы исключить повторный запуск своих копий червь создает Windows mutex с именем "ScrSvr31415".

Заражению подвергаются компьютеры с установленной MS Windows 9x. Возможность заражения NT-систем не подтверждена.

Одна из версий червя ведет логи сканируемых и заражаемых компьютеров в файлах "ScrLog" и "ScrLog2".

Удаление

Широкое распространение данного червя произошло по той причине, что он использует стандартные установки Windows:
распространение происходит по стандартному протоколу NETBIOS
имя ресурса "\\hostname\C" предлагается по умолчанию при открытии доступа к диску C:
по умолчанию пароль на доступ к ресурсу не запрашивается
"ленивые" пользователи (каких немало) либо вообще не устанавливают пароль на доступ к ресурсу, либо делают его однобуквенным

Для того, чтобы избавиться от червя и защитить компьютер от повторных заражений достаточно:
либо запретить доступ к ресурсам, либо установить достаточно длинный пароль
удалить EXE-файл червя
удалить команду "run=" в файле WIN.INI (см. выше)
удалить команду "run" в системном реестре (см. выше)
Worm.Win32.Opasoft.a (aka Brasil)

Вариант червя "Opasoft" - "Opasoft.a" или "Brasil", обнаружен в "диком виде" 19-20 октября 2002. Отличия следующие:
Первоначальный вариант червя не упакован. Вариант "Brasil" зашифрован утилитой "PCPEC" и упакован компрессором PE EXE-файлов "UPX".

Изменены текстовые строки (сделан "патч") в теле червя:
"ScrSvr", "ScrSin" -> "Brasil"
"ScrSout" -> "Brasil!"
"scrupd" -> "puta!!"
"www.opasoft.com" -> "www.n3t.com.br"

В результате проявления данной модификации червя несколько отличаются от первоначального варианта.

Инсталляция

При запуске копирует себя в каталог Windows c именем "brasil.exe" или "brasil.pif" (в зависимости от варианта "патча") и регистрирует этот файл в команде авто-запуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Brasil = %worm name%

Распространение
При заражении удаленного компьютера передает на него файл "brasil.exe" или "brasil.pif" и регистрирует его в файле WIN.INI.

Бекдор
Бекдор-троянец управляется с Web-сайта "www.n3t.com.br".
Поскольку данный сервер недоступен (как и первоначальный сервер "opasoft"), то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.