Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам а также через интернет пейджер ICQ. Производит атаку на канал IRC при помощи троянского скрипта. Червь является приложением Windows (PE EXE-файл), имеет размер около 38K, написан на Visual Basic. Файл упакован утилитой UPX. После распаковки его размер около 148 Кб. Зараженные письма содержат:
Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,рассылает зараженные письма и выводит сообщения:
После чего червь выводит диалоговое окно с сообщением:
Инсталляция При инсталляции червь копирует себя в системный каталог Windows с именем GONE.SCR и регистрирует этот файл в ключе авто-запуска системного реестра:
После чего червь продолжает находиться в оперативной памяти компьютера и выполняет свое распространение. Противодействие антивирусным программам После инсталляции в систему червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:
Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess. Затем он удаляет все файлы в каталоге и подкаталогах найденного процесса. После удаления файлов червь ищет оставшиеся файлы и настраивает их удаление при перезагрузке компьютера. Для этого он, Рассылка писем При рассылке писем червь использует функции MS Outlook и расылает себя по всем адресам, обнаруженным в адресной книге Outlook.
Червь рассылает себя через интернет пейджер ICQ. Для этого он использует функции из библиотечного файла ICQMAPI.DLL. Перед вызовом функций из этой библиотеки, червь копирует ее в системный каталог Windows. Для всех пользователей из контактного листа клиента ICQ червь периодически выполняет вызов функции SendFile ( пересылка файлы пользователю ICQ в он-лайн). При отсылка себя червь самостоятельно отвечает на запросы программы. Для этого он отвечает на сообщения диалогов с заголовками:
Червь постоянно сканирует имена вновь появившихся окон и закрывает окна с заголовками:
Червь сканирует в каталогах доступных дисков файл MIRC.INI. Он создает в том же каталоге файл REMOTE32.INI, вызов которого добавляет в MIRC.INI. Этот скрипт подключает пользователя со случайным именем к каналу #pentagonex через сервер twisted.ma.us.dal.net. |
Узнай статистику распространения угроз в твоем регионе |