Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: P2P-Worm
Размножаются по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, EDonkey, FastTrack, Gnutella и др.). Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя: при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь. Распространяется по сетям файлообмена Kazaa, а также по локальным и сетевым дискам.Червь является приложением Windows (PE EXE-файл), имеет размер около 57KB, написан на Microsoft Visual Basic. Большинство функций червя работоспособны только на операционных системах Windows 2000 и выше.
Инсталляция
При первом запуске червь активизирует процедуру инсталляции и выводит на экран Message Box:
![providence; You are infected with The Saint Virus](https://threats.kaspersky.com/wp-content/themes/kasthreat/assets/frontend/article_images/113.gif)
Червь копирует себя в корневой каталог диска C: с именем PROVIDENCE.exe и регистрирует его в ключе автозапуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun CGA = "C:PROVIDENCE.exe"Червь создает и запускает в корневом каталоге диска C: файл share.bat, содержащий команды для открытия локальных дисков a:, c:, d: и e: на полный доступ. Данный файл также собирает информацию об имеющихся сетевых подключениях и сохраняет ее в ip.txt. Червь пытается создать нового пользователя the_saint с правами администратора системы.
После окончания инсталляции червь создает файл bonanza.html и открывает его при помощи Internet Explorer:
![](https://threats.kaspersky.com/wp-content/themes/kasthreat/assets/frontend/article_images/114.gif)
Распространение
Червь копирует себя в каталоги системы файлообмена Kazaa:C:program FilesKazaaMy Shared FilesC:Archivos de programakazaamy shared filesИ на локальный диск A: с различными именами (файлы имеют расширения exe, com, pif):
hola chau linux windows windowze linuxe chistesdelmilenio Phonebooth Cristina aguilera Jennifer lopez worm generator ASP Microsoft Windows XP Zonavirus Infector Trucos del NFS Geocities.com Norton antivirus PerantivirusКроме этого червь пытается скопировать свою копию с именем setup.exe на все доступные сетевые диски и с именем je.exe на доступные локальные диски.
В коде червя имеется функция для размножения через электронную почту, однако, из-за ошибок она не работоспособна и рассылки писем, с вложенными файлами червя, не происходит.
Прочее
При каждом запуске червь, используя MS Outlook, отправляет письмо на адрес:the_saint@persystems.zzn.comПисьмо выглядит следующим образом:
![Infected; La ip de la maquina es: y su sistema operativo es: ip.txt](https://threats.kaspersky.com/wp-content/themes/kasthreat/assets/frontend/article_images/115.gif)
Файл вложения ip.txt содержит информацию о сетевых подключениях зараженной машины.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com