Worm.ZippedFiles

Worm.ZippedFiles

Alias:

ExploreZip

Descrizione tecnica:

Il worm è un programma avente il nome di "Zipped_Files.exe" che arriva per posta elettronica.

Il file è stato realizzato con il compilatore Delphi di Inprise. La sua lunghezza è di circa 210 KB e la maggior parte del codice è occupata dalle librerie di run-time di Delphi, solo 10 KB circa rappresentano le istruzioni vere e proprie del worm.

Quando viene eseguito il file, il worm si installa nel sistema e invia copie di se stesso a tutti gli indirizzi trovati nella cartella "Posta in arrivo"

Dopo aver fatto questo, per ingannare l'utente, visualizza questo messaggio:

Error
Cannot open file: it does not appear to be a valid archive. If this file is
part of a ZIP format backup set, insert the last disk of the backup set
and try again. Please press F1 for help.

il virus crea copie di se stesso nella cartella di Windows e nella cartella System con i seguenti nomi(supponiamo che il percorso della cartella WINDOWS si (C:\WINDOWS):

C:\WINDOWS\_SETUP.EXE
C:\WINDOWS\SYSTEM\EXPLORE.EXE

Allo scopo di eseguire automaticamente una copia di se stesso ad ogni avvio del sistema, il worm modifica il file WIN.INI, aggiungendo un’istruzione "run=" nella sezione [windows]. Di tale istruzione il worm scrive due possibili varianti. Esempio:

run=_setup.exe
run=C:\WINDOWS\SYSTEM\Explore.exe

Attraverso tale tecnica il worm rimane attivo nella memoria di sistema per tutta la sessione di Windows. Il task del worm non possiede alcuna finestra attiva e dunque non è visibile nella taskbar, ma è comunque possibile osservarne la presenza nella lista dei task (la finestra che compare sullo schermo premendo i tasti CTRL-ALT-CANC), dove il worm viene elencato con uno dei seguenti nomi:

Zipped_files
Explore
_setup

Il worm non controlla se una copia di se stesso è già presente nella memoria di sistema, quindi è possibile che nella memoria siano presenti allo stesso tempo più istanze del worm.

Una volta attivato, il worm esegue quattro differenti thread: quello che si occupa dell’installazione e che ha lo scopo di creare delle copie del worm nelle cartelle di sistema di Windows, registrandole poi nel file WIN.INI; il thread che diffonde copie del worm tramite posta elettronica e infine due thread che provvedono alla cancellazione di vari tipi di file (effetto distruttivo).

Il secondo thread invia messaggi di posta elettronica impiegando direttamente i servizi MAPI (Messaging Application Program Interface). Il worm consulta quattro volte il sistema di e-mail installato sul computer, tentando di effettuare il logon con quattro diversi profili MAPI: quello configurato per default, Microsoft Outlook, Microsoft Outlook Internet Settings, Microsoft Exchange.

Una volta connesso al sistema di posta elettronica il worm effettua il monitoraggio delle e-mail in arrivo: usando un ciclo senza fine controlla i messaggi in arrivo e replica ad ognuno di essi. Il messaggio di replica si presenta con le seguenti caratteristiche: nell’ "Oggetto" viene posto il prefisso "Re:" mentre il corpo del messaggio contiene il testo:

Hi [nome del ricevente]

I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.

Il messaggio termina con una delle seguenti frasi:

bye.
sincerely [nome del mittente]

Una copia del worm viene allegata al messaggio con il nome "Zipped_Files.Exe".

Il worm evita di replicare due volte allo stesso messaggio e a quelli creati dal worm stesso. Per identificare i propri messaggi il worm li contrassegna con un carattere di tabulazione alla fine della stringa di testo presente nell’ "Oggetto" dell’e-mail. Ogni volta che il worm controlla la posta in arrivo il campo "Oggetto" viene esaminato: tutti i messaggi che presentano il carattere di tabulazione alla fine di tale campo non vengono infettati. Inoltre, il worm crea una replica soltanto ai messaggi non sono stati ancora letti che si trovano nella posta in arrivo.

E’ necessario notare che entrambe le caratteristiche appena esposte (sola replica ai messaggi non letti e l’evitare di rispondere due volte ai messaggi) sono soltanto opzionali. Nella versione conosciuta di questo worm entrambe le condizioni sono codificate nelle istruzioni del worm, ma è possibile che una futura versione del programma worm eviti di imporre tali limitazioni.

Il worm possiede anche un effetto altamente distruttivo per i dati. Ogni volta che viene eseguito effettua una scansione dei dischi locali e di rete tramite due thread di codice dedicati a tale scopo, ricercando file che hanno le seguenti estensioni:

.C, .H, .CPP, .ASM, .DOC, .XLS, .PPT

ovvero vari tipi di sorgenti di programma e file di Microsoft Office; quindi li modifica ponendoli a lunghezza zero. Per effettuare tale operazione il worm usa una tecnica di particolare (creazione e chiusura di file) che cancella il contenuto dei file e lo imposta a lunghezza zero rendendolo irrecuperabile.

Il primo dei thread dedicati all’esecuzione dell’effetto distruttivo compie una scansione di tutti i drive disponibili (dalla lettera C alla Z), ricercando e corrompendo i file sopra elencati. Il secondo thread invece viene eseguito una sola volta con lo scopo di elencare le risorse di rete e di eseguire l’effetto distruttivo anche sui drive remoti.