Gazeta Internetowa

Wirus zwany xRomeo&xJuliet atakuje program pocztowy Outlook. Jak sie przed nim uchronic ?
Najlepiej nie uzywac Outlooka :))

Ze strony http://www.microsoft.com/technet/security/bulletin/ms00-037.asp
mozna pobrac "late", która naprawia blad systemu - jeden z wielu :)




Oto sposob usuwania - niesprawdzony - nie gwarantuje jego poprawnosci.
Tekst pochodzi z listy dysk. info1

1. Znalezc w systemie i usunšć pliki:
?romeo.*
?juliet.*
sysrnj.exe

2. uruchomic komp w trybie MS-DOS
3. odpalic
   scanreg /restore

Wirus zaatakowal moj system z maila o tytule "Last wish???".
To dosc sprytny programik, poprzez zmiany w rejestrze przechwytuje
wszystkie uruchomienia plikow .exe, dokumentow, plikow multimedialnych,
spakowanych itp. Uruchomienie np. jakiegokolwiek .mpega konczy sie jego
zniszczeniem i wpisaniem kodu wirusa w ten plik.

Jesli zainfekowana wiadomosc zostania przegladnieta, wirus
uruchi poprzez skrypt html plik pomocy chm, ktory uruchomi
plik romeo (x).exe, ktory z kolej zainstaluje wirusa w katalogu
c:\windows. W lewym gornym rogu ekranu otworzy sie malutkie
puste okienko.

Opis recznego usuniecia wirusa:

Najpierw usunmy wiadomosc ze skrzynki odbiorczej.
(mozna to zrobic na koncu, ale wtedy trzeba uwazac,
by nie zakazic systemu jeszcze raz:)
Jestesmy w trybie off-line.
Po pierwsze, nalezy wylaczyc automatyczny podglad wiadomosci
w menu widok>uklad (odhaczamy okienko podgladu)
i potem mozna juz bezpiecznie przejsc do folderu,
w ktorym mamy wiadomosc i ja usunac (a nie tylko
przeniec do wiadomosci usuniete)

Wirus instaluje w katalogu c:\windows plik sysrnj.exe .
Plik ten jest juz wykrywany jako wirus przez najnowsze
(koniec listopada) uaktualnienia programow antywirusowych
(np. Sophos), jednakze jego skasowanie doprowadzi praktycznie do
unieruchomienia windows. Plik ten posredniczy przy uruchamianiu
kazdego programu, wiec lepiej go nie kasowac dopoki nie
uruchomimy regedita.
Moze sie okazac, ze regedit nie chce sie uruchomic.
Wirus prawdopodobnie blokuje jego uruchamianie.
W zwiazku z tym nalezy zastosowac nastepujacy trik
(po uprzednim zamknieciu wszystkich plikow z nazwa "romeo"
czy "juliet" w okienku ctrl-alt-del)

Dzialamy w katalogu "windows". Zmieniamy nazwe "sysrnj.exe"
na jakakolwiek inna (lepiej jeszcze go nie kasowac).
Robimy kopie "regedit.exe" i zmieniamy jej nazwe na "sysrnj.exe".
Teraz uruchomienie jkiegokolwiek programu spowoduje uruchomienie
regedita z parametrem rownym lokalizacji+nazwie pliku.
Wykorzystajmy to.
Na pulpicie utworzmy nowy dokument _tekstowy_ "patch.exe"
(rownie dobrze moglby sie nazywac "BillGatesSucksAss.avi" :))
w nim napiszmy :

REGEDIT4

[HKEY_CLASSES_ROOT\.exe]
"Content Type"="application/x-msdownload"
@="exefile"

i zachowajmy. Potem uruchommy. Jesli wszystko pojdzie dobrze,
windows zapyta, czy dodac informacje do rejestru. Oczywiscie tak.
Teraz bezpiecznie mozemy juz uruchamiac pliki exe, w tym przede
wszystkim regedit.exe.
Czeka nas troche zmudnej pracy. Musimy znalezc wszystkie
ciagi "rnjfile". Latwo widac, ze ciag ten wystepuje
wiele razy. Za kazdym razem jego wartosc bedziemy musieli zmienic
wedlug nastepujacego schematu : jesli jestesmy w klasie
.avi, to rnjfile zmieniamy na avifile ,
doc : rnjfile > docfile
reg : rnjfile > regfile
itd ze wszystkimi ( w sumie kilkanascie rozszerzen).

W rejestrze wystepuje tez ciag rnjfile opowiadajacy
za uruchamianie sysrnj.exe . Usuwamy go takze.

Po operacji jeszcze raz sprawdzmy, czy w calym rejestrze
przypadkiem gdzies sie nie ostal jakis "rnjfile" czy "sysrnj.exe".
Jesli tak - usuwamy.

Teraz mozemy bezpiecznie skasowac z katalogu windows
plik sysrnj.exe i porzednia wersje (znaczy oryginal) sysrnj.exe

Poszukajmy tez na dysku wszystkich plikow o nazwie *romeo*.exe
i *juliet*.chm . Usunmy je takze.

Jesli wszytsko dobrze poszlo - system jest juz czysty
i mozna spokojnie odtwarzac swoje ulubione mptrojki.

Uwaga - tekst napisalem jeszce na goraco, zaraz po
usunieciu wirusa. Nie wiem, czu to wszysko co nalezalo zrobic
ale wydaje mi sie ze raczej tak.
Na koniec nasuwa mi sie taka refleksja, ze kiedys wirus
sam musial dbac o to, by przechwytywac przerwania,
nadzorowac uruchamiane programu itd. Teraz jest od tego Windows,
ktory oferuje wirusom bardzo dobre wspomaganie:)

autor : Lukasz Kanclerski, 1 XII 2000 kanc@polbox.com

Romeo & Juliet

Sporo było ostatnio już paniki i dyskusji na ten temat, więc
postanowiłem wnieœć do niego swoje kompleksowe trzy grosze. Jeœli komuœ
to pomoże, będę się cieszył...

Wczoraj moja dociekliwoœć sprawiła, że się nieco pobawiłem tym głoœnym
robaczkiem. No cóż, wykorzystuje najbardziej naiwne (żeby nie powiedzieć
lamerskie) cechy i standardowe ustawienia konfiguracyjne Windows i
Outlook (Express). Daleko mu jednak do tego co statnio zaprezentował
Hybris...

Wiele już stron napisano z zaleceniami aby instalujšc Windę nie robić
tego ze względów bezpieczeństwa w domyœlnym katalogu C:\Windows, wiele
też jest postów krytycznych po adresem niedorobionego i niezgodnego z
zaleceniami RFC w/w czytnika/mailera firmy M$. Każdy kto skorzystał z
tych rad (i nie tylko) czyli ma zainstalowany system w innym katalogu
bšdŸ używa porzšdnego czytnika może być spokojny. A teraz konkrety...

Robaczek opiera się na w sumie doœć prymitywnym, ale jak widać
skutecznym pomyœle wykorzystujšcym niektóre z ułomnoœci popularnego
czytnika Outlook (Express) i plików CHM...:

1. Nie potwierdzanego przez użytkownika zapisywania załšczników poczty
do standardowego katalogu temp czyli w naszym przypadku c:\Windows\temp
- jeszcze przed pojawiajšcym się pytaniem o uruchomienie bšdŸ zapisanie
załšcznika.

2. Nie potwierdzanego uruchamiania skryptów zawartych w kodzie HTML
otrzymanych wiadomoœci.

3. Nie potwierdzanego aktywowania np. plików exe ze skompilowanych
CHM'ów.

Exek Myromeo spakowany jest UPX'em 1.01 jest wielkoœci 29184 bajtów. Po
rozpakowaniu zajmuje 60928 bajtów. Napisany został w Deplhi 4 jako
aplikacja klasy PE (portable executable). Przyczynš spakowania było
zapewne skrócenie czasu wysyłania/powielania i ukrycie przed ciekawskimi
zawartych w nim wpisów. Ogólnie robaczek wyglšda na produkt "Made in
Poland" bioršc pod uwagę adresy IP open i semi-open relay'ów z jakich
korzysta do wysyłania poczty. Z oczywistych przyczyn nie chciałbym być
teraz adminem któregoœ z nich :) ale pewnie to i tak na dobre nam
wyjdzie, bo lada moment zacznš oni przepuszczać pocztę jednie od/do
userów majšcych u nich konta. A sš to:

212.244.199.2   gate2.panoramix.net.pl          Szczecin
195.117.152.91  dns.inter-grafix.com.pl         Olsztyn
195.116.62.86   madmax.quadrosoft.com           Sopot
194.153.216.60  mail1.getin.pl                  Warszawa
195.117.99.98   promail.pl "Optimus PRO"        Warszawa
213.25.111.2    memo.gate.pl                    Wrocław

Myjuliet jest skompilowanym do formatu CHM plikiem HTML zawierajšcym,
podobnie jak sam rozsyłany list, skrypt Windows uruchamiajšcy opisany
wczeœniej komponent PE Myromeo. Sama treœć przesyłki zaszyta w Myromeo

Nasza "parka" Romeo i Julia rozsyła się pod jednym z n/w 12 tematów:


Romeo&Juliet
:))))))
hello world
!!??!?!?
ble bla, bee
I Love You ;)
sorry...
Hej you !
Matrix has you...
my picture
from shake-beer
!!??!?!?


Mechanizm działania robaczka jest prosty. Sama treœć przesyłki zaszyta w
Myromeo i przesyłana do ofiar jest w formacie HTML. W OE po najechaniu
na takš otrzymanš przesyłkę uruchamia się (o ile mamy włšczony
automatyczny podglšd - o tym póŸniej przy leczeniu) moduł interpretujšcy
HTML i skrypty oraz pokazujšcy nam jej zawartoœć. Wszystko by było OK
gdyby nie przebiegły pomysł autora umieszczenia w nim skryptu... W
HTML'u wiadomoœci mamy:

(miedzy innymi)
<IFRAME width=3D1 height=3D1
src=3D"cid:000701bf8458$eb570380$dc0732d4@666"></IFRAME>
<IFRAME width=3D1 height=3D1
src=3D"cid:000701bf8458$eb570381$dc0732d4@666"></IFRAME>
<P></P>

<SCRIPT>
 window.showHelp("c:/windows/temp/myjuliet.chm");
</SCRIPT>


Właœnie ten w/w fragment <SCRIPT> ... </SCRIPT> skryptu jest
automatycznie aktywowany przez Windę co prowadzi do odpalenia
"przemyconego" wczeœniej przez OE do c:\Windows\temp komponentu
Myjuliet.chm i dalej Myromeo.exe. Ten skolei dobiera się do standardowej
lokalizacji WAB'a (Windows Address Book) zapisanej w gałęzi rejestru
\SOFTWARE\Microsoft\WAB\WAB4\Wab File Name czyli, po ludzku mówišc
ksišżki adresowej Windows i próbuje rozesłać "parkę" dalej pod pozyskane
w ten sposób adresy korzystajšc ze wspomnianych już wczeœniej IP.
Reasumujšc przy spełnionych warunkach dotyczšcych systemu (standardowo
zainstalowana wersja polska Windy) i programu pocztowego (O(E)),
robaczek aktywuje się automatycznie gdy otrzymany email jest OTWIERANY
lub PRZEGLĽDANY!

Mimo, że otrzymane przez naszych adresatów zainfekowane maile sš "typowo
Outlookowe" (zasługa wczeœniej zdefiniowanej przez autora zawartoœci
myromeo.exe) wysyłka ich jest ukrywana i nie trafia do "wysłane
elementy" (send items) O(E), więc tam ich raczej nie szukajcie ;-).

Powstaje pytanie JAK WYLECZYĆ SWÓJ ZARAŻONY SYSTEM? Ja po
"kontrolowanym" zainfekowaniu zrobiłem to ręcznie, ale już chyba sš
dostępne uaktualnienia do popularnych programów antywirusowych, które
robiš to automatycznie.

Na poczštek mała sugestia dla jeszcze zdrowych... Bioršc pod uwagę
powyższe rozważania (adresy IP, możliwe tematy etc.) osoby korzystajšce
z usług lokalnych serwerów pocztowych (np. Hamstera, Chomika) lub dobrze
konfigurowalnych mailerów (np. TheBat!), mogš założyć sobie odpowiednie
filtry na odbierane przesyłki i tym sposobem ich skutecznie uniknšć.
Jeœli używacie Outlooka to osobiœcie proponuję przejœcie na jakiœ mniej
"dziurawy" i zgodny z RFC czytnik/mailer. Jeżeli jednak się upieracie
przy swoim ulubionym O(E) to zainstalujcie sobie chociaż najnowszego
patcha, który Wam co nieco w nim połata. Teraz O(E) zacznie pytać o
nieautoryzowany dostęp do WBA o zapisywanie niebezpiecznych plików o
wysyłanie załšczników typu exe etc. Macie to na
officeupdate.microsoft.com

POSTĘPOWANIE:
1. Przechodzimy do trybu off-line i zamykamy OE.

2. Najpierw musimy zabrać sterowanie robaczkowi (o ile je ma). Wciskamy
więc œwiętš trójcę Ctrl+Alt+Del i na liœcie procesów zaznaczamy naszego
"Romeo" po czym wybieramy Zakończ zadanie.

3. Przeszukujemy dyski (najlepiej chyba Windows Commanderem przez
Alt+F7) lub start\znajdŸ\pliki lub foldery... i i kasujemy znalezione
pliki majšce w nazwie "myromeo" lub "myjuliet".

4. Odpalamy O(E). Wchodzimy do menu widok\układ i LIKWIDUJEMY tam
odhaczenie z "Pokaż okienko podglšdu". (Gdyby tego znacznika wczeœniej
nie było nasz robaczek nie dostałby nigdy sterowania, ale my nie
moglibyœmy przeglšdać zawartoœci maili w OE.) Następnie listy/wiadomoœci
posiadajšce któryœ z w/w tematów spokojnie - tym razem już bez podglšdu
:-) - kasujemy.

5. Posiadacze Win98 odpalajš start\uruchom\msconfig i przechodzš do
zakładki Autostart. Nie powinno tam być żadnych wpisów z odwołaniami do
pliku o nazwie myromeo, a jeœli sš należy je zlikwidować (odhaczyć).
Posiadacze Win95 majš tu dwa wyjœcia:

a) albo skopiujš sobie pozyskany np. od kolegi z Win98 plik
MSCONFIG.EXE do katalogu \Windows\System\ i zastosujš ponownie punkt 5

b) albo pozostaje im grzebanie ręczne w rejestrach, czyli... odpalajš
start\uruchom\regedit. W gałęzi
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
wyszukujemy czy jest gdzieœ wpis z nazwš "myromeo" jeœli tak to go w
czapę. Podobnie robimy w gałęziach:
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] i
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce],
jeœli takowe u Was w rejestrze istniejš. Po tym w gałęzi
[HKEY_CURRENT_USER\...] Winda zrobi to już sama automatycznie. Dla
słabiej zaawansowanych (bšdŸ nie wiedzšcych) polecam goršco sposób a).
Dzięki programowi MSCONFIG.EXE będš się mogli dodatkowo dowiedzieć (i je
zlikwidować) jakie procesy sš u nich automatycznie (wielo bšdŸ
jednorazowo) startowane przy odpalaniu Windy i zżerajš im zasoby, moce
przerobowe CPU i cennš pamięć RAM.

6. Restartujemy Windę i... nauczeni obecnymi doœwiadczeniami wchodzimy
do sieci poszukujšc dobrego antywirusowego softu. Ze swej strony
polecam:

a) dla DOS'a F-PROT'a 3.08 z Frisk Software - Fridrika Skulasona i
Vesselina Bontcheva do œcišgnięcia z:
ftp://garbo.uwasa.fi/pc/virus/fp-xxx.zip
ftp://ftp.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip
http://www.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip

b) dla Windows InoculateIT (PE) z Computer Associates http://www.cai.com
lub AVP z Kaspersky Lab. http://www.avp.ru - ten jest niestety płatny.
Oba z monitoringiem i możliwoœciš sprawdzania on-lie poczty.

Podsumowujšc Romeo&Juliet okazał się być prostym krajowym, ale
bezwzględnie wykorzystujšcym niedoróbki Outlooka(E) i Windows PL oraz
lekkomyœlnoœć (żeby nie powiedzieć bardziej dosadnie...) ich
użytkowników - robakiem, zapychajšcym łšcza i skrzynki pocztowe.

PS1.
W/w sposób postępowania dotyczy zapewne także i samego Outlooka z
pakietu Office, ale tego nie sprawdzałem bo go nie posiadam.

PS2.
Wycišgnijcie doœwiadczenia na przyszłoœć bo z tego co widzę robaczka
można w doœć prosty sposób modyfikować zmieniajšc mu wczeœniej
wymienione stałe (adresy IP openów, tematy... etc.) i adoptujšc go do
infekowania nie tylko polskich wersji Windows. Jak będę miał więcej
czasu to może się nim więcej pobawię i zaadoptuję go (wyłšcznie na
własny użytek) do Windows NT.

Autor: Nuta - nuta@alpha.net.pl

---

Aby bezpłatnie zaprenumerować 'Gazetę Internetową'  kliknij link 'Prenumerata' . Dla każdego nowego prenumeratora eBook za darmo !

---

Poleć tę Gazetę znajomemu ! Email znajomego:                Twoje imie, nazwisko lub nick:

R E K L A M A

To jest miejsce na twoja reklame

---

Nie odpowiadam za prawdziwosc podanych informacji :)