Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется по сетям файлообмена Kazaa, а также по локальным и сетевым дискам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 57KB, написан на Microsoft Visual Basic. Большинство функций червя работоспособны только на операционных системах Windows 2000 и выше.

Инсталляция

При первом запуске червь активизирует процедуру инсталляции и выводит на экран Message Box:

providence; You are infected with The Saint Virus

Червь копирует себя в корневой каталог диска C: с именем PROVIDENCE.exe и регистрирует его в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 CGA = "C:PROVIDENCE.exe"

Червь создает и запускает в корневом каталоге диска C: файл share.bat, содержащий команды для открытия локальных дисков a:, c:, d: и e: на полный доступ. Данный файл также собирает информацию об имеющихся сетевых подключениях и сохраняет ее в ip.txt. Червь пытается создать нового пользователя the_saint с правами администратора системы.

После окончания инсталляции червь создает файл bonanza.html и открывает его при помощи Internet Explorer:

Распространение

Червь копирует себя в каталоги системы файлообмена Kazaa:

C:program FilesKazaaMy Shared FilesC:Archivos de programakazaamy shared files

И на локальный диск A: с различными именами (файлы имеют расширения exe, com, pif):

hola
chau
linux
windows
windowze
linuxe
chistesdelmilenio
Phonebooth
Cristina aguilera
Jennifer lopez
worm generator
ASP
Microsoft Windows XP
Zonavirus
Infector
Trucos del NFS
Geocities.com
Norton antivirus
Perantivirus

Кроме этого червь пытается скопировать свою копию с именем setup.exe на все доступные сетевые диски и с именем je.exe на доступные локальные диски.

В коде червя имеется функция для размножения через электронную почту, однако, из-за ошибок она не работоспособна и рассылки писем, с вложенными файлами червя, не происходит.

Прочее

При каждом запуске червь, используя MS Outlook, отправляет письмо на адрес:

the_saint@persystems.zzn.com

Письмо выглядит следующим образом:

Infected; La ip de la maquina es: y su sistema operativo es: ip.txt

Файл вложения ip.txt содержит информацию о сетевых подключениях зараженной машины.

Класс	P2P-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется по сетям файлообмена Kazaa, а также по локальным и сетевым дискам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57KB, написан на Microsoft Visual Basic. Большинство функций червя работоспособны только на операционных системах Windows 2000 и выше. Инсталляция При первом запуске червь активизирует процедуру инсталляции и выводит на экран Message Box: Червь копирует себя в корневой каталог диска C: с именем PROVIDENCE.exe и регистрирует его в ключе автозапуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun CGA = "C:PROVIDENCE.exe" Червь создает и запускает в корневом каталоге диска C: файл share.bat, содержащий команды для открытия локальных дисков a:, c:, d: и e: на полный доступ. Данный файл также собирает информацию об имеющихся сетевых подключениях и сохраняет ее в ip.txt. Червь пытается создать нового пользователя the_saint с правами администратора системы. После окончания инсталляции червь создает файл bonanza.html и открывает его при помощи Internet Explorer: Распространение Червь копирует себя в каталоги системы файлообмена Kazaa: C:program FilesKazaaMy Shared FilesC:Archivos de programakazaamy shared files И на локальный диск A: с различными именами (файлы имеют расширения exe, com, pif): hola chau linux windows windowze linuxe chistesdelmilenio Phonebooth Cristina aguilera Jennifer lopez worm generator ASP Microsoft Windows XP Zonavirus Infector Trucos del NFS Geocities.com Norton antivirus Perantivirus Кроме этого червь пытается скопировать свою копию с именем setup.exe на все доступные сетевые диски и с именем je.exe на доступные локальные диски. В коде червя имеется функция для размножения через электронную почту, однако, из-за ошибок она не работоспособна и рассылки писем, с вложенными файлами червя, не происходит. Прочее При каждом запуске червь, используя MS Outlook, отправляет письмо на адрес: the_saint@persystems.zzn.com Письмо выглядит следующим образом: Файл вложения ip.txt содержит информацию о сетевых подключениях зараженной машины.

P2P-Worm.Win32.Prudence

Technical Details

Инсталляция

Распространение

Прочее