Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам а также через интернет пейджер ICQ. Производит атаку на канал IRC при помощи троянского скрипта.

Червь является приложением Windows (PE EXE-файл), имеет размер около 38K, написан на Visual Basic. Файл упакован утилитой UPX. После распаковки его размер около 148 Кб.

Зараженные письма содержат:

Заголовок:Hi
Имя вложения: gone.scr
Текст:

How are you ?
When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it!

Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,рассылает зараженные письма и выводит сообщения:

pentagone
coded by: suid
tested by: ThE_SKuLL and satan
greetings to: TraceWar,k9-unit, stef16,^Reno.
greetings also to nonick2 out
there where ever you are

После чего червь выводит диалоговое окно с сообщением:

Инсталляция

При инсталляции червь копирует себя в системный каталог Windows с именем GONE.SCR и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
C:WINDOWSSYSTEMGONE.SCR = C:WINDOWSSYSTEMGONE.SCR

После чего червь продолжает находиться в оперативной памяти компьютера и выполняет свое распространение.

Противодействие антивирусным программам

После инсталляции в систему червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:

FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C:SAFEWEB

Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess. Затем он удаляет все файлы в каталоге и подкаталогах найденного процесса. После удаления файлов червь ищет оставшиеся файлы и настраивает их удаление при перезагрузке компьютера. Для этого он,
записывает соответствующие команды в файл WININIT.INI.

Рассылка писем

При рассылке писем червь использует функции MS Outlook и расылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Рассылка через интернет пейджер ICQ

Червь рассылает себя через интернет пейджер ICQ. Для этого он использует функции из библиотечного файла ICQMAPI.DLL. Перед вызовом функций из этой библиотеки, червь копирует ее в системный каталог Windows. Для всех пользователей из контактного листа клиента ICQ червь периодически выполняет вызов функции SendFile ( пересылка файлы пользователю ICQ в он-лайн). При отсылка себя червь самостоятельно отвечает на запросы программы. Для этого он отвечает на сообщения диалогов с заголовками:

Send Online File
Send Online File Request

Червь постоянно сканирует имена вновь появившихся окон и закрывает окна с заголовками:

User has declined your request
Can’t Send File Request

Send    Online File [User       Is in N/A mode]
Send    Online File [User       Is Away]
Send    Online File [User       Is Occupied]
Send    Online File [User       Is in DND mode]
User    has declined your       request
Can't Send File Request
Send Online File Request [User Is in N/A mode]
Send Online File Request [User Is Away]
Send Online File Request [User Is Occupied]
Send Online File Request [User Is in DND mode]

Атака на IRC канал

Червь сканирует в каталогах доступных дисков файл MIRC.INI. Он создает в том же каталоге файл REMOTE32.INI, вызов которого добавляет в MIRC.INI. Этот скрипт подключает пользователя со случайным именем к каналу #pentagonex через сервер twisted.ma.us.dal.net.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам а также через интернет пейджер ICQ. Производит атаку на канал IRC при помощи троянского скрипта. Червь является приложением Windows (PE EXE-файл), имеет размер около 38K, написан на Visual Basic. Файл упакован утилитой UPX. После распаковки его размер около 148 Кб. Зараженные письма содержат: Заголовок:Hi Имя вложения: gone.scr Текст: How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,рассылает зараженные письма и выводит сообщения: pentagone coded by: suid tested by: ThE_SKuLL and satan greetings to: TraceWar,k9-unit, stef16,^Reno. greetings also to nonick2 out there where ever you are После чего червь выводит диалоговое окно с сообщением: Инсталляция При инсталляции червь копирует себя в системный каталог Windows с именем GONE.SCR и регистрирует этот файл в ключе авто-запуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun C:WINDOWSSYSTEMGONE.SCR = C:WINDOWSSYSTEMGONE.SCR После чего червь продолжает находиться в оперативной памяти компьютера и выполняет свое распространение. Противодействие антивирусным программам После инсталляции в систему червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка: FINET.EXE APLICA32.EXE ZONEALARM.EXE ESAFE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE PCFWallIcon.EXE FRW.EXE VSHWIN32.EXE VSECOMR.EXE WEBSCANX.EXE AVCONSOL.EXE VSSTAT.EXE NAVAPW32.EXE NAVW32.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE LOCKDOWN2000.EXE ICLOAD95.EXE ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE TDS2-98.EXE TDS2-NT.EXE SAFEWEB.EXE C:SAFEWEB Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess. Затем он удаляет все файлы в каталоге и подкаталогах найденного процесса. После удаления файлов червь ищет оставшиеся файлы и настраивает их удаление при перезагрузке компьютера. Для этого он, записывает соответствующие команды в файл WININIT.INI. Рассылка писем При рассылке писем червь использует функции MS Outlook и расылает себя по всем адресам, обнаруженным в адресной книге Outlook. Рассылка через интернет пейджер ICQ Червь рассылает себя через интернет пейджер ICQ. Для этого он использует функции из библиотечного файла ICQMAPI.DLL. Перед вызовом функций из этой библиотеки, червь копирует ее в системный каталог Windows. Для всех пользователей из контактного листа клиента ICQ червь периодически выполняет вызов функции SendFile ( пересылка файлы пользователю ICQ в он-лайн). При отсылка себя червь самостоятельно отвечает на запросы программы. Для этого он отвечает на сообщения диалогов с заголовками: Send Online File Send Online File Request Червь постоянно сканирует имена вновь появившихся окон и закрывает окна с заголовками: User has declined your request Can’t Send File Request Send Online File [User Is in N/A mode] Send Online File [User Is Away] Send Online File [User Is Occupied] Send Online File [User Is in DND mode] User has declined your request Can't Send File Request Send Online File Request [User Is in N/A mode] Send Online File Request [User Is Away] Send Online File Request [User Is Occupied] Send Online File Request [User Is in DND mode] Атака на IRC канал Червь сканирует в каталогах доступных дисков файл MIRC.INI. Он создает в том же каталоге файл REMOTE32.INI, вызов которого добавляет в MIRC.INI. Этот скрипт подключает пользователя со случайным именем к каналу #pentagonex через сервер twisted.ma.us.dal.net.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Goner

Technical Details