Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, заражает приложения Win32 на локальном компьютере и на Структура зараженных файлов выглядит следующим образом: г=====================╛ ╕ Зараженный ╕ ╕ файл-носитель ╕ ╕ ╕ ╕--------------------╛╕ ╕╕Полиморфик-код ╕╕ ╕╕библиотеки ╕╕ ╕╕INVICTUS ╕╕ ╕+-------------------+╕ ╕╕Тело INVICTUS.DLL ╕╕ ╕+-------------------+╕ ╕╕Тело червя ╕╕ ╕L--------------------╕ L=====================- При запуске зараженного файла (сразу, если стартовый адрес указывает на полиморфик-код INVICTUS, или в зависимости от структуры файла-носителя, если Данный код расшифровывает и создает на диске файл-библиотеку INVICTUS.DLL и сам червь в каталоге %TEMP% со случайным именем, и запускает червя. Файл-червь является приложением Windows (PE EXE-файл), имеет размер около 8K (упакован UPX) или 15K в распакованном виде, написан на ассемблере. Инсталляция При запуске червь инсталлирует себя в систему, и затем активизирует процедуры рассылки писем, заражения других Win32-файлов и графические спец-эффекты. При установке в заражаемой системе, червь копирует себя в папку Windows со случайным именем и записывает в файл SYSTEM.INI следующие значения:
что обеспечивает ему авто-запуск при каждом рестарте Windows (только под Win9x/ME). Рассылка зараженных писем Для поиска e-mail адресов червь использует каталог «ICQ White pages» на сайте http://wwp.icq.com. Червь обращается к этому каталогу с поисковым запросом, а затем извлекает из результатов поиска (из HTML-страницы с результатами поиска)
По обнаруженным адресам затем рассылаются зараженные письма. При рассылке используется прямое соединение с SMTP-сервером, который выбирается червем специальным образом. Заражённые письма имеют пустое тело, тема сообщения выбирается из списка: Bin Laden toillete paper !! Имя вложения: BINLADEN_BRASIL.EXE В письмах червь использует брешь IFRAME в защите Microsoft Internet Explorer, поэтому он может запуститься автоматически при просмотре заражённого письма в почтовом клиенте. Заражение файлов на локальном диске Червь заражает следующие файлы в папке Windows:
Также, он ищет все программы, описанные в журнале приложений (applog) Windows (большинство приложений, когда-либо запускавшихся на компьютере, попадают в этот журнал), и заражает их.Затем червь ищет в памяти запущенную копию файла EXPLORER.EXE, закрывает её и заражает файл. Заражение файлов в локальной сети Червь перебирает сетевые ресурсы (удаленные диски и каталоги) и подключается к ним. Червь пытается скопировать себя со случайным именем на сетевые ресурсы в папки:
и зарегистрироваться на удалённой системе, чтобы запускаться автоматически при старте Windows (работает только в Windows 9x/ME). Спец-эффекты В зависимости от случайного счётчика, червь выводит на экран случайное количество раз случайно выбранным цветом строку: ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU GOD SHIVA TUPA DIOS DEUS и выводит сообщение: Затем вирус «засыпает» на 10 секунд, после чего «перемешивает» содержимое экрана. Прочее Червь ищет и пытается закрыть окна из списка:
Червь создаёт в реестре следующий ключ:
и записывает в него значения, которые открывают диск C: на полный доступ по сети. Червь удаляет ключ реестра:
и следующее значение реестра:
Червь записывает сохранённые в Windows пароли доступа к сетевым ресурсам в %WINDOWS%BinLaden.ini. Червь содержит в себе текст:
|
Узнай статистику распространения угроз в твоем регионе |