Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам и через IRC-каналы. Червь является приложением Windows (PE EXE-файл), имеет размер около 18KB, написан на Visual Basic. Упакован UPX (размер распакованного файла около 83KB).Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).
Инсталляция
При запуске червь копирует себя с именем ACCOUNT_DETAILS.DOC.exe в каталог c:progra~1 и регистрирует этот файл в ключе автозапуска системного реестра Windows:
Червь с определенной вероятностью выводит на экран Message Box с текстом:HKLMSoftwareMicrosoftWindowsCurrentVersionRun Windows Task Manager = c:progra~1ACCOUNT_DETAILS.DOC.exe
Dear Tony Blair, Why are you spending all our taxes on illegal immigrants!?!Создает в корневом каталоге диска C: файл с именем WIN32.SORT-IT-OUT-BLAIR.TXT, в который записывает текстовую строку "Infected by the WIN32.SORT-IT-OUT-BLAIR Virus!", после чего пытается скопировать этот файл в следующие каталоги:
How about you stop worrying about other countries and worry about ours???
Stop spending money on immigrants and spend it on things like OAP's who fought to keep this country free but are now getting tre
How about spend a little money on the NHS or the education system!?!
Think about it Mr Blair.
Your career depends on it.
We've had enough.
INFECTED BY: WIN32.SORT-IT-OUT-BLAIR
c:inetpubwwwrootdefault.asp c:inetpubwwwrootdefault.htm c:inetpubwwwrootdefault.html c:inetpubwwwrootindex.asp c:inetpubwwwrootindex.htm c:inetpubwwwrootindex.html
Размножение через Email
При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.
Зараженные письма содержат:
(выбирается из списка)
Account, произвольное число is on hold
Your Account Infomation
Your Account is on hold
Your Account has been suspended
Account Infomation
Account Invoice
Email Account Infomation
This quaters invoice
Account Billing Information
YOUR ACCOUNT REF: [произвольное число]
ORDER CONFIRMATION: [произвольное число]
(выбирается из списка):
"Your Account.Doc"
"Account Details.Doc"
"Your Account Info.Doc"
"Account Information.Doc"
"Billing Information.Doc"
"Invoice.Doc"
"Account Invoice.Doc"
"Account Update.Doc"
"Account Status.Doc"
"Your Account Status.Doc"
(выбирается из списка):
Dear Sir,Please find attached this quarters invoice for your Internet Account.Regards, Billing Team.
Dear Sir,Please can you check that your account information is up to date.Your details are attached to this email.Regards, Support Team.
Dear Sir,Please can you confirm that your account information is correct.Your current details are attached to this email.Regards, Support Team.
Please find your details attached.Thank you
Dear Sir,Details are attached to this email.Thank you
Размножение через IRC
Если червь обнаруживает на компьютере установленный клиент mIRC, он копирует свою копию в его каталог с именем chain_mail_world_record.irc и заменяет оригинальный файл script.ini на свой. Файл-скрипт script.ini затем отсылает зараженный файл chain_mail_world_record.irc всем, кто подключается к зараженному IRC-каналу.
Прочее
Червь проверяет наличие в памяти процессов с именами из списка и пытается прекратить их работу:
ACKWIN32.EXE ADVXDWIN.EXE ALERTSVC.EXE ALOGSERV.EXE AMON9X.EXE ANTI-TROJAN.EXE ANTS.EXE APVXDWIN.EXE ATCON.EXE ATUPDATER.EXE ATWATCH.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCC32.EXE AVGCTRL.EXE AVGSERV.EXE AVGSERV9.EXE AVGW.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVSYNMGR.EXE AVWIN95.EXE AVWINNT.EXE AVWUPD32.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE.EXE AVXW.EXE AgentSvr.exe AutoTrace.exe Avgctrl.exe Avsched32.exe BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE CMGRDIAN.EXE CONNECTIONMONITOR.EXE CPD.EXE CPDCLNT.EXE DEFWATCH.EXE DOORS.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFPEADM.EXE ESAFE.EXE ESPWATCH.EXE ETRUSTCIPE.EXE EVPN.EXE EXPERT.EXE F-AGNT95.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FINDVIRU.EXE FP-WIN.EXE FPROT.EXE FRW.EXE GENERICS.EXE GUARD.EXE GUARDDOG.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IFACE.EXE IOMON98.EXE IOMON98.EXE ISRV95.EXE InoRT.exe InoRpc.exe InoTask.exe JEDI.EXE LDNETMON.EXE LDPROMENU.EXE LDSCAN.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE LUALL.EXE LUCOMSERVER.EXE MCAGENT.EXE MCMNHDLR.EXE MCSHIELD.EXE MCTOOL.EXE MCUPDATE.EXE MCVSRTE.EXE MCVSSHLD.EXE MGAVRTCL.EXE MGAVRTE.EXE MGHTML.EXE MINILOG.EXE MONITOR.EXE MOOLIVE.EXE MPFTRAY.EXE MWATCH.EXE N32SCANW.EXE NAVAPSVC.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NDD32.EXE NETUTILS.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NORMIST.EXE
NPROTECT.EXE NPSSVC.EXE NSCHED32.EXE NTVDM.EXE NTXconfig.exe NUPGRADE.EXE NVC95.EXE NWService.exe NWTOOL16.EXE Navapw32.exe NeoWatchLog.exe Nui.EXE PADMIN.EOUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCIOMON.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE POP3TRAP.EXE POPROXY.EXE PORTMONITOR.EXE PROCESSMONITOR.EXE PVIEW95.EXE RAV7.EXE RAV7WIN.EXE REALMON.EXE RESCUE.EXE RTVSCN95.EXE Realmon.exe SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SPYXX.EXE SS3EDIT.EXE SWEEP95.EXE SWNETSUP.EXE SYMPROXYSVC.EXE SYMTRAY.EXE SymProxySvc.exe TBSCAN.EXE TC.EXE TCA.EXE TCM.EXE TDS-3.EXE TDS2-98.EXE TDS2-NT.EXE TFAK.EXE VET32.EXE VET95.EXE VET95.EXE VETTRAY.EXE VIR-HELP.EXE VPC32.EXE VPTRAY.EXE VSCAN40.EXE VSCHED.EXE VSECOMR.EXE VSHWIN32.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE VbCons.exe WATCHDOG.EXE WEBSCANX.EXE WEBTRAP.EXE WFINDV32.EXE WGFE95.EXE WIMMUN32.EXE WRADMIN.EXE WRCTRL.EXE ZAPRO.EXE ZONEALARM.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE apvxdwin.exe avkpop.exe avkservice.exe avkwctl9.exe defscangui.exe fameh32.exe fch32.exe fih32.exe fnrb32.exe fsaa.exe fsav32.exe fsgk32.exe fsm32.exe fsma32.exe fsmb32.exe gbmenu.exe gbpoll.exe iamapp.exe netstat.exe nisum.exe ntrtscan.EXE nvsvc32.exe pavproxy.exe pccntmon.EXE pccwin97.EXE pcscan.EXE regedit.exe sbserv.exe sscansvc.exe taskmgr.exe vbcmserv.exe vsmon.exe zapro.exe zonealarm.exe Event Log Messenger Zonealarm TrueVector Internet Monitor Norton Antivirus Auto Protect Service Norton Internet Security Accounts Manager Norton Internet Security Proxy Service Norton Internet Security Service Norton AntiVirus Server Norton AntiVirus Auto Protect Service Norton AntiVirus Client Symantec AntiVirus Client McShield IPSEC Policy Agent DefWatch WMDM PMSP Service
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com
Нашли неточность в описании этой уязвимости? Дайте нам знать!