17.11.2000 - Benny a jeho nov² Φerv Energy...

Tak jsem zase tady...

nyni bych si dovolil vam predstavit muj novy vytvor, a to I-Worm.Energy, vypusteny nedavno.

jeste pred vypustenim viru Win32.HIV jsem zacal pracovat na novem cervu (nazval jsem ho "Project XTC"). opet to mel byt vetsi kousek. vetsinu uz mam hotovou, chybi "pouze" cast sireni. zni to smesne, ale je to tak. u tohoto cervu je sireni az to posledni, co by mel umet. pokud se mi ho podari dokoncit, poznate proc :-)

prace na mega-projektech typu Vulcano, HIV nebo XTC je sice zajimava, ale celkem vycerpavajici. mate v hlave mnoho napadu ktere chcete realizovat, ale ty nejzajimavejsi naprogramujete v jedne hodince a zbytek je uz jen rutina (vlastni sireni, osetreni chybovych stavu, prace se soubory, ladeni toho vseho) - uz je to o nicem, i gdyz to jako celek (gdyz je to hotovy) vypada hezky. cim vetsi projekt, tim vetsi nuda a vetsi pravdepodobnost vyskytu chyb. bohuzel.

zacal jsem byt celkem otraveny, chtel jsem naprogramovat neco originalniho, zajimavyho, neco novyho a hlavne kratkyho. vlastni kod mel byt jednoduchy, a pritom jedinecny (tak jako napriklad Win2k.Stream). rozhodl jsem se, ze by to mel byt cerv, protoze programovani vsech tech zalezitosti kolem viru (ktery jsou na vsech virech podobne, ne-li temer stejne) me prestalo bavit. potreboval jsem proste "zmenu" :-) a zacal jsem pracovat na I-Worm.Energy.

vlastnosti cerva v bodech:


• umi pracovat pouze pod WinNT/2k.
  
• je zkomprimovany, zakryptovany a obrneny velmi peknym programkem "tElock". programovani anti-* rutin me tudiz odpadlo.
  
• po spusteni se zkopiruje do systemoveho adresare Windows a zaregistruje se jako Service - moznosti shozeni cerviho procesu jsou tudiz velmi omezene.
  
• potom se pokusi kazdou minutu prozkoumat vsechny procesy v systemu a infikovat je cervim threadem - ten se pokusi najit uz nahranou knihovnu MAPI32.dll a "povesi" se na volani API sluzby "MAPISendMail", ktera obsluhuje odesilani e-mailu.
  
• po volani vyse uvedene API fce se nejprve zavola cervi obsluha, ktera odesilanou zpravu zkontroluje a pokusi se infikovat vsechny prilozene RAR archivy "pribalenim" sama sebe.
  

z vyse uvedeneho popisu je zrejme, ze cerv se muze sirit za predpokladu, ze je v systemu jiz nahran nejaky mail client, ktery pouziva zminenou API fci pro odesilani posty. infikovane RAR archivy obsahuji soubor SETUP.EXE, ktery obsahuje i standardni "setapackou" ikonu.

je velmi pravdepodobne, ze cerv obsahuje nejakou chybu - jeho vyvoj se vsim vsudy (programovani, ladeni, napsani popisu, update stranky + odeslani AVerum) trval necele 2 dny. myslim si, ze na tu dobu je to celkem slusny cerv. cerva, ktery by vyuzival schopnosti I-Wormu Energy jsem jeste nevidel, a proto doufam ze jsem opet splnil svou zasadu nevypoustet prumerne veci. za novinky povazuji:

• schopnost umistit se do servicu (to jsem jeste nevidel, pokud nejaky cerv existuje, dejte mi o nem prosim vedet).
  
• samotne sireni pres infikaci procesu.
  
• pouziti programu "tElock", ktery mi velmi efektivne ulehcil praci na anti-* rutinach
  
• originalni velikost 10kB, a to vcetne vsech hlavicek, dekryptoru (ten sam ma podle autora tElocku kolem 4.5kB) a samotnyho kodu ;-)
  

binarku muzete jako vzdy najit na me strance. tu jsem taky odeslal par AV firmam, takze verim ze tady o nem neslysite naposledy. pokud budete mit jakekoliv pripominky, otazky nebo prebytecne penize, napiste mi na benny_29a@privacyx.com. *howgh*.