Descrizione Breve

Swen è un worm che si diffonde tramite mail, reti locali (LAN), IRC e Kazaa. Sfrutta una vecchia vulnerabilità di Internet Explorer per eseguirsi direttamente dalla mail. Il worm Swen è apparso il 18 Settembre 2003. Molto probabilmente è stato scritto dall'autore del worm Gibe (Begbie) ed ha infatti un comportamento simile a quello delle ultime varianti di Gibe.

Tool di disinfezione

F-Secure ha creato un tool per la rimozione di Swen.
Il tool e' disponibile per il download ai seguenti link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/swentool.zip

ftp://ftp.europe.f-secure.com/anti-virus/tools/swentool.com

Le istruzioni per la rimozione sono in:

ftp://ftp.europe.f-secure.com/anti-virus/tools/swentool.txt

Descrizione Dettagliata

Il file costituente il worm è un eseguibile Windows PE di dimensione 106496 bytes. Non è compresso con nessun tipo di compressore.

Installazione sul sistema

Quando il file del worm viene eseguito controlla che non sia già stato installato, si copia in una cartella di Windows con un nome casuale (ex: MLMHP.EXE) e crea una chiave di avvio nel registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<caratteri_casuali>" = "<caratteri_casuali>.exe /autorun"

dove <caratteri_casuali> è il nome del file del worm. In questo modo il worm viene sempre avviato con Windows.

Se il worm è già installato sul computer mostra la seguente messagebox:

altrimenti visualizza:

Se l'utente preme 'No' il worm si installa nel sistema in modo nascosto. Se viene premuto 'Yes', il worm mostra una falsa finestra di installazione:

dopo poco appare la finestra di avvenuta installazione

Durante l'installazione il worm crea un batch file che ha il nome di una workstation infetta. Questo file contiene il seguente testo:

@ECHO OFF IF NOT "%1"=="" <name>.exe %1

dove <name> è il nome del file eseguibile del worm

Il worm estrae la lista dei server SMTP dal suo body in SWEN1.DAT.

A questo punto il worm modifica le chiavi di default per i file BAT, SRC, EXE, REG e PIF nel registro:

[HKCR\exefile\shell\open\command]
[HKCR\regfile\shell\open\command]
[HKCR\scrfile\shell\open\command]
[HKCR\piffile\shell\open\command]
[HKCR\batfile\shell\open\command]

In questo modo il worm prende il controllo del sistema ogni qual volta un utente provi a lanciare eseguibili o file di registro.

In più il worm disabilita i Registry tools creando la chiave:

[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools" = dword:00000001

In questo modo un utente non ha la possibilità di lanciare l'utility Regedit ed importare REG file. In alcuni casi il worm mostra il seguente messaggio:

Il numero delle messagebox viene generato casualmente.

Il worm crea una serie di sottochiavi all'interno della seguente chiave:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]

Queste sottochiavi contengono informazioni riguardanti SMTP server, mail dell'utente, il nome della chiave che si riferisce al worm installato, il nome del computer infetto, il nome di un archivio zip che il worm tenta di creare usando WinZip, il nome della directory di mIRC ed altri dati sensibili.

Durante il processo di installazione il worm abilita la condivisione per i client KaZaa, si copia alcune volte all'interno delle cartelle condivise da Kazaa, sostituisce il file SCRIPT.INI del client mIRC con uno che manda il file del worm a tutti gli utenti che si connettono ad un canale dove è presente un utente infettato.

Diffusione nelle LAN

Il worm tenta di diffondersi attraverso la rete locale (LAN). Cerca periferiche di rete mappate e, se trova le seguenti directory:

Win98
Win95
WinMe
Windows

copia un file con un nome casuale nelle seguenti cartelle:

\%WinDir%\Start menu\Programs\Startup

\Documents and Settings\All Users\Start menu\Programs\Startup
\Documents and Settings\Administrator\Start menu\Programs\Startup
\Documents and Settings\Default User\Start menu\Programs\Startup

\Winnt\Profiles\All Users\Start menu\Programs\Startup
\Winnt\Profiles\Administrator\Start menu\Programs\Startup
\Winnt\Profiles\Default User\Start menu\Programs\Startup

Il risultato è che il computer remoto sarà infettato dal worm dopo che verrà riavviato.

Diffusione nelle reti IRC

Il worm crea il proprio file SCRIPT.INI nella directory di installazione di mIRC. Questo script fa in modo che un IRC client mandi un file chiamato 'WinZip installer.zip' a tutti gli utenti che si uniscono al canale dove è presente un utente infetto.

Diffusioni nelle reti Kazaa

Il worm modifica il Registro in modo da abilitare la condivisione per i client Kazaa, successivamente trova le directory condivise e ci si copia utilizzando come nome una delle seguenti stringhe:

Kazaa Lite
KaZaA media desktop
KaZaA
WinRar
WinZip
Winamp
Mirc
Download Accelerator
GetRight FTP
Windows Media Player
key generator
hack
hacked
warez
upload
installer
Bugbear
Yaha
Gibe
Sircam
Sobig
Klez
removerv removal tool
cleaner
fixtool
AOL hacker
Yahoo hacker
Hotmail hacker
10.000 Serials
Jenna Jameson
HardPorn
Sex
XboX Emulator
Emulator PS2
XP update
XXX Video
Sick Joke
XXX Pictures
My naked sister
Hallucinogenic Screensaver
Cooking with Cannabis
Magic Mushrooms Growing
Virus Generator

Questi file possono avere estensione EXE o ZIP.

Propagazione e-mail

Il worm scandisce periodicamente le pagine HTML e ASP sull' hard disk e raccoglie gli indirizzi e-mail nel file GERMSO:DBV nella directory di Windows. Il worm cattura le mail anche da file .EML, .DBX, .WAB e .MBX . Swen non raccoglie mail contenenti le stringhe 'delete' e 'spam'.

E' in grado di leggere gli indirizzi dei server SMTP dal Registro. Se non riesce a tovarli mostra una falsa MAPI dialog box chiedendo all'utente di inserire il dato:

Il worm, presumibilmente, invia un messaggio simile a questo:

L'indirizzo del mittente viene scelto tra i seguenti:

MS
Microsoft
Corporation
Program
Internet
Network
Security
Division
Section
Department
Center
Technical
Public
Customer
Bulletin
Services
Assistance
Support

Il nome del dominio di queste mail viene scelto tra:

news
bulletin
confidence
advisor
updatesv technet
support
newsletters

Il suffisso del dominio viene preso dalla seguente lista:

ms
msn
msdn
microsoft

.com
.net

Sceglie il nome del recipient tra queste stringhe:

Commercial
MS
Microsoft
Corporation
Customer
User
Partner
Consumer
Client

L'oggetto della mail mostra una delle seguenti parole:

Current
Newest
Last
New
Latest
Net
Network
Microsoft
Internet
Critical
Security
Patch
Update
Pack
Upgrade

Il worm può comporre e-mail utilizzando anche queste parole:

RE:
FWD:
FW:
Check
Check out
Prove
Try
Taste
Try on
Look at
Take a look at
See
Watch
Use
Apply
Install
this
that
the
these
important
internet
critical
security
corrective
correction
patch
update
pack
upgrade
for
MS
Microsoft
Windows
Internet Explorer
which
that
comes
from
the
MS
M$
Microsoft
Corporation
Corp.

Il worm solitamente è allegato alla mail infetta come file .exe. Il nome dell'allegato consiste in numeri casuali ed una delle seguenti stringhe:

update
patch
q
install

Esempio: Q591362.EXE oppure UPDATE98.EXE.

Il messaggio infetto contine solitamente un exploit IFrame che permette di eseguire automaticamente l'allegato infetto. Questo quando si utilizzano e-mail browsers vecchi o non patchati.

Payload

Il worm termina i processi di software di sicurezza ed antivirus che, nel loro nome, contengono le seguenti stringhe:

_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

Inoltre non permette di eseguire file che abbiano queste stringhe nel loro nome. Quando questi file vengono lanciati, il worm mostra la seguente messagebox e ne ferma l'eseguzione;

Il numero di questi messaggi viene generato dinamicamente.

Se il worm trova un debugger nel sistema, mostra una messagebox con il seguente testo:

Try to pull my legs?

Contatore delle infezioni

Il worm salva un conteggio delle infezioni in una pagina web particolare. Ogni computer infetto prova ad accedere a questa pagina incrementando il contatore.

Rilevazione

F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 18 Settembre 2003:

[FSAV_Database_Version]

Version=2003-09-18_01

F-Secure Corporation