Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa. Скачивает с хакерского Web-сайта троянскую программу-бекдор и устанавливает её в систему. Червь является приложением Windows (PE EXE-файл), имеет размер около 4K (упакован FSG, размер распакованного файла — около 20K), написан на VisualBasic. Инсталляция При запуске своего EXE-файла червь копирует себя в системный каталог Windows с именем «MicrosoftUpdate.com» и регистрирует этот файл в ключе авто-запуска системного реестра:
Червь также создаёт ключ-счетчик в системном реестре:
где %счетчик% является числом. Первоначально в счетчик записывается единица, затем счетчик увеличивается на единицу при каждом запуске червя. В зависимости от значения счетчика червь Рассылка писем При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат поля: Заголовок: Important: Microsoft Windows Patch For Xp,2k,ME,98,95. Текст:
Имя вложения: MicrosoftUpdate.com Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь создаёт в системном каталоге Windows подкаталог «system16» и копирует себя туда с именами: kmd.exe Game Trainer.exe Hacker.exe icq2003a.exe Game.exe Hacks.exe icq2003b.exe App.exe xbox Hacker.exe icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe icq2002a.exe Cracker.exe xbox Bios Hack.exe icq2003a.exe Games.exe Burn ps2 Games To A Single CD-R.exe icq crack.exe Games trainer.exe Burn ps2.exe aim crack.exe Trainer.exe burn xbox.exe icq lite.exe Cheat.exe burn dreamcast.exe imeshv2.exe Game Hack.exe Затем каталог «system16» регистрируется как каталог обмена файлов сети Kazaa. Установка троянской программы Червь скачивает с сайта http://www.wawater.com троянец-бекдор «Backdoor.Slackbot», записывает его в файл «c:unxrt.exe» и запускает на выполнение. |
Узнай статистику распространения угроз в твоем регионе |