Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa. Скачивает с хакерского Web-сайта троянскую программу-бекдор и устанавливает её в систему.

Червь является приложением Windows (PE EXE-файл), имеет размер около 4K (упакован FSG, размер распакованного файла — около 20K), написан на VisualBasic.

Инсталляция

При запуске своего EXE-файла червь копирует себя в системный каталог Windows с именем «MicrosoftUpdate.com» и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Windows Update = %SystemDir%MicrosoftUpdate.com

Червь также создаёт ключ-счетчик в системном реестре:

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
Startup = %счетчик%

где %счетчик% является числом. Первоначально в счетчик записывается единица, затем счетчик увеличивается на единицу при каждом запуске червя. В зависимости от значения счетчика червь
активизирует свои процедуры распространения (на первом, 10-м, 20-м, 40-м и 80-м запуске и т.д.).

Рассылка писем

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге.

Зараженные письма содержат поля:

Заголовок: Important: Microsoft Windows Patch For Xp,2k,ME,98,95.

Текст:

Microsoft just release this patch for all versions of Microsoft Windows.
This update patches many of the recent vulnerabilities!
It is recommended that you patch your operating system now.
Though it is not required.

*Please Note* This is not the actual Microsoft patch. The attached program is Microsoft Update

Имя вложения: MicrosoftUpdate.com

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Распространение: Kazaa

Червь создаёт в системном каталоге Windows подкаталог «system16» и копирует себя туда с именами:

   kmd.exe            Game Trainer.exe    Hacker.exe                         
   icq2003a.exe       Game.exe            Hacks.exe                          
   icq2003b.exe       App.exe             xbox Hacker.exe                    
   icq2003Final.exe   App Crack.exe       Ps2 Bios Emulation.exe             
   icq2002a.exe       Cracker.exe         xbox Bios Hack.exe                 
   icq2003a.exe       Games.exe           Burn ps2 Games To A Single CD-R.exe
   icq crack.exe      Games trainer.exe   Burn ps2.exe                       
   aim crack.exe      Trainer.exe         burn xbox.exe                      
   icq lite.exe       Cheat.exe           burn dreamcast.exe                 
   imeshv2.exe        Game Hack.exe

Затем каталог «system16» регистрируется как каталог обмена файлов сети Kazaa.

Установка троянской программы

Червь скачивает с сайта http://www.wawater.com троянец-бекдор «Backdoor.Slackbot», записывает его в файл «c:unxrt.exe» и запускает на выполнение.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa. Скачивает с хакерского Web-сайта троянскую программу-бекдор и устанавливает её в систему. Червь является приложением Windows (PE EXE-файл), имеет размер около 4K (упакован FSG, размер распакованного файла — около 20K), написан на VisualBasic. Инсталляция При запуске своего EXE-файла червь копирует себя в системный каталог Windows с именем «MicrosoftUpdate.com» и регистрирует этот файл в ключе авто-запуска системного реестра: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update = %SystemDir%MicrosoftUpdate.com Червь также создаёт ключ-счетчик в системном реестре: HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup = %счетчик% где %счетчик% является числом. Первоначально в счетчик записывается единица, затем счетчик увеличивается на единицу при каждом запуске червя. В зависимости от значения счетчика червь активизирует свои процедуры распространения (на первом, 10-м, 20-м, 40-м и 80-м запуске и т.д.). Рассылка писем При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат поля: Заголовок: Important: Microsoft Windows Patch For Xp,2k,ME,98,95. Текст: Microsoft just release this patch for all versions of Microsoft Windows. This update patches many of the recent vulnerabilities! It is recommended that you patch your operating system now. Though it is not required. Please Note This is not the actual Microsoft patch. The attached program is Microsoft Update Имя вложения: MicrosoftUpdate.com Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Распространение: Kazaa Червь создаёт в системном каталоге Windows подкаталог «system16» и копирует себя туда с именами: kmd.exe Game Trainer.exe Hacker.exe icq2003a.exe Game.exe Hacks.exe icq2003b.exe App.exe xbox Hacker.exe icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe icq2002a.exe Cracker.exe xbox Bios Hack.exe icq2003a.exe Games.exe Burn ps2 Games To A Single CD-R.exe icq crack.exe Games trainer.exe Burn ps2.exe aim crack.exe Trainer.exe burn xbox.exe icq lite.exe Cheat.exe burn dreamcast.exe imeshv2.exe Game Hack.exe Затем каталог «system16» регистрируется как каталог обмена файлов сети Kazaa. Установка троянской программы Червь скачивает с сайта http://www.wawater.com троянец-бекдор «Backdoor.Slackbot», записывает его в файл «c:unxrt.exe» и запускает на выполнение.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Burnox

Technical Details