Email-Worm.Win32.Burnox

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa. Скачивает с хакерского Web-сайта троянскую программу-бекдор и устанавливает её в систему.

Червь является приложением Windows (PE EXE-файл), имеет размер около 4K (упакован FSG, размер распакованного файла — около 20K), написан на VisualBasic.

Инсталляция

При запуске своего EXE-файла червь копирует себя в системный каталог Windows с именем «MicrosoftUpdate.com» и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Windows Update = %SystemDir%MicrosoftUpdate.com

Червь также создаёт ключ-счетчик в системном реестре:

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
Startup = %счетчик%

где %счетчик% является числом. Первоначально в счетчик записывается единица, затем счетчик увеличивается на единицу при каждом запуске червя. В зависимости от значения счетчика червь
активизирует свои процедуры распространения (на первом, 10-м, 20-м, 40-м и 80-м запуске и т.д.).

Рассылка писем

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге.

Зараженные письма содержат поля:

Заголовок: Important: Microsoft Windows Patch For Xp,2k,ME,98,95.

Текст:

Microsoft just release this patch for all versions of Microsoft Windows.
This update patches many of the recent vulnerabilities!
It is recommended that you patch your operating system now.
Though it is not required.

*Please Note* This is not the actual Microsoft patch. The attached program is Microsoft Update

Имя вложения: MicrosoftUpdate.com

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.


Распространение: Kazaa

Червь создаёт в системном каталоге Windows подкаталог «system16» и копирует себя туда с именами:

   kmd.exe            Game Trainer.exe    Hacker.exe                         
   icq2003a.exe       Game.exe            Hacks.exe                          
   icq2003b.exe       App.exe             xbox Hacker.exe                    
   icq2003Final.exe   App Crack.exe       Ps2 Bios Emulation.exe             
   icq2002a.exe       Cracker.exe         xbox Bios Hack.exe                 
   icq2003a.exe       Games.exe           Burn ps2 Games To A Single CD-R.exe
   icq crack.exe      Games trainer.exe   Burn ps2.exe                       
   aim crack.exe      Trainer.exe         burn xbox.exe                      
   icq lite.exe       Cheat.exe           burn dreamcast.exe                 
   imeshv2.exe        Game Hack.exe   

Затем каталог «system16» регистрируется как каталог обмена файлов сети Kazaa.

Установка троянской программы

Червь скачивает с сайта http://www.wawater.com троянец-бекдор «Backdoor.Slackbot», записывает его в файл «c:unxrt.exe» и запускает на выполнение.