Класс | Email-Worm | ||
Платформа | Win32 | ||
Описание |
Technical DetailsОчень опасный вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через сеть файлообмена Kazaa и каналы IRC и открытым сетевым ресурсам. Написан на языке Microsoft Visual C++ и имеет размер около 105KB (106496 байт). Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении) или если почтовая программа содержит уязвимость IFrame.FileDownload (аналогично червям Klez и Tanatos). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Патч для устранения данной уязвимости выпущен в марте 2001 года — Microsoft Security Bulletin MS01-20.
Червь блокирует работу различных антивирусных программ и межсетевых экранов. Алгоритм работы червя и различные тексты в коде практически идентичны другому сетевому червю — ИнсталляцияПри первом запуске червь может выводить на экран окно, с заголовком «Microsoft Internet Update Pack» и затем имитирует установку патча: ![]() ![]() ![]() Червь копирует себя под одним из имен в каталог Windows. Имя формируется из нескольких частей. Первый вариант имени:
Второй вариант имени:
Третий вариант имени:
Созданный файл регистрируется в ключе автозапуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun произвольное значение = %windir%имя файла autorun Создает метку-идентификатор, в которой сохраняет свои конфигурационные значения: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer произвольное значение Cоздает в каталоге Windows файл с именем зараженной машины и расширением BAT, со следующими командами:
Изменяет значения ключей в HKLMSoftwareClasses таким образом, чтобы получать управление при каждом запуске файлов форматов BAT, COM, EXE, PIF, REG и SCR: HKCRbatfileshellopencommand Default = %windir%имя файла червя "%1" %* HKCRcomfileshellopencommand Default = %windir%имя файла червя "%1" %* HKEY_CLASSES_ROOTexefileshellopencommand Default = %windir%имя файла червя "%1" %* HKCRpiffileshellopencommand Default = %windir%имя файла червя "%1" %* HKCRregfileshellopencommand Default = %windir%имя файла червя showerror HKCRscrfileshellconfigcommand Default = %windir%имя файла червя "%1" HKCRscrfileshellopencommand Default = %windir%имя файла червя "%1" /S Отключает возможность редактирования системного реестра: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 При первом заражении машины червь обращается к удаленному сайту:
Таким образом, данный счетчик является индикатором количества зараженных машин. При попытке запуска файла червя, который уже инсталлирован в систему, выводит сообщение: ![]() Червь ищет на дисках файлы с расширениями DBX, MDX, EML, WAB, а также содержащие в расширении символы HT и ASP. Из них он извлекает найденные адреса электронной почты, которые сохраняет в файле germs0.dbv. Червь пытается подключиться к одному из 350 серверов, содержащихся в файле swen1.dat, для отправки зараженных писем. Если ни к одному из серверов подключиться не удалось, червь выводит на экран ложное сообщение об ошибке MAPI 32 Exception… ![]() …и просит указать корректный адрес электронной почты и SMTP-сервера. Размножение через EmailЧервь рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл (сам червь). ![]() Имя отправителя (составляется из нескольких частей):
Например:
Адрес отправителя (составляется из двух частей):
Тема письма (составляется из разных частей):
Текст письма:
Подпись текста письма:
Имя вложения:
В зависимости от различных условий может отправляться упрощенный вариант письма:
В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar). Размножение через KazaaЧервь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным именем и копирует туда несколько своих копий с различными именами. Данный каталог указывается в системном реестре Windows как Local Content системы файлообмена Kazaa: HKCUSoftwareKazaaLocalContent dir99 = 012345:%Windir%%temp%имя каталога В результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa. Размножение по IRCЧервь ищет на машине установленный клиент mIRC и если таковой обнаружен — перезаписывает файл script.ini процедуры рассылки. Файл-скрипт script.ini затем отсылает зараженный файл из каталога Windows, всем кто подключается к зараженному IRC-каналу. Размножение по локальной сетиЧервь последовательно перебирает все доступные диски и если находит сетевой, то копирует себя туда с произвольным именем в каталоги: windowsall usersstart menuprogramsstartup windowsstart menuprogramsstartup winmeall usersstart menuprogramsstartup winmestart menuprogramsstartup win95all usersstart menuprogramsstartup win95start menuprogramsstartup win98all usersstart menuprogramsstartup win98start menuprogramsstartup document and settingsall usersstart menuprogramsstartup document and settingsdefault userstart menuprogramsstartup document and settingsadministratorstart menuprogramsstartup winntprofilesall usersstart menuprogramsstartup winntprofilesdefault userstart menuprogramsstartup winntprofilesadministratorstart menuprogramsstartup ПрочееЧервь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов.
При попытке их запуска выводит ложное сообщение об ошибке: ![]() |
||
Узнай статистику распространения угроз в твоем регионе |