Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsИнтернет-червь, распространяющийся в сообщениях электронной почты и общедоступных директориях KaZaA. Предоставляет удалённый доступ к заражённым компьютерам с помощью нескольких бэкдор-процедур.
После запуска червь создаёт в директории Windows следующие файлы:
iservc.exe (копия червя) Также червь записывает в реестр следующее значение, чтобы автоматически запускаться при старте Windows:
В Windows NT/2000/XP червь также может создавать системный сервис, однако эта возможность была отключена автором вируса. Червь регистрируется как обработчик файлов с расширением «.TXT» так, что он запускается при открытии файлов «.TXT».
Червь создаёт свои копии со случайными именами в директории загруженных файлов KaZaA.
Для размножения в сообщениях электронной почты червь использует собственную библиотеку SMTP. Адреса получателей писем создаются случайным образом, а также извлекаются из адресных книг Outlook и Windows (WAB). Заражённые сообщения могут иметь различные темы, тексты, а также имена вложений. Они создаются случайным образом, при этом червь использует несколько таблиц строк, записанных в его теле. Например:
Червь содержит список каналов IRC, с которыми он пытается соединиться для получения команд удалённого администрирования от злоумышленника.
Червь также запускает HTTP и telnet-подобный сервера на определённых его автором портах, и предоставляет через них удалённый доступ к компьютеру.
Червь записывает все нажатия клавиш в файл «iservc.klg» в директории Windows.
Большинство настроек, такие как имена ключей реестра, адреса серверов IRC и |
Узнай статистику распространения угроз в твоем регионе |