Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Downloader
Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.
Червь содержит в себе бэкдор-функцию.
Червь представляет собой PE EXE-файл, размером 24493 байт.
Инсталляция
После запуска червь копирует себя с именем svc111.exe в системный каталог Windows:
%System%svc111.exe
Распространение через email
Данный вариант червя не ищет электронные адреса потенциальных жерт на зараженном компьютере. Червь имеет возможность загрузить из интернета файлы, содержащие адреса электронной почты будущих жертв. Червь содержит весьма объемный список интернет-страниц, с которых можно скачать данные файлы.
Червь рассылает зараженные письма по всем содержащимся в скаченном файле адресам электронной почты. Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Характеристики зараженных писем
Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.
Тема письма:
<пустое поле>
Текст письма:
<пустое поле>
Имя файла-вложения:
Выбирается произвольным образом из списка:- (-).zip
- -))).zip
- Diary.zip
- The_important_document.zip
- To_the_daddy.zip
- War_of_the_worlds.zip
Архив содержит следующий файл:
(-).cpl
Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Bagle.cr.
Удаленное администрирование
Червь открывает и затем отслеживает TCP-порт 80 для приема команд от злоумышленника.
Действия компонента (-).cpl
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.
Размер данного файла 14253 байта.
После запуска на компьютере данный файл открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции (-).cpl создает в корневом каталоге Windows файл с именем cjector.exe:
%Windir%cjector.exe
После чего создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:
%System%winshost.exe %System%wiwshost.exe
Затем регистрирует себя в ключах автозапуска системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun] [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "winshost.exe"="%System%winshost.exe"
Действие
Компонент (-).cpl содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.
С целью блокирования запуска антивирусов и межсетевых экранов файл червя удаляет следующие ключи реестра:
[HKLMSOFTWAREAgnitum] [HKLMSOFTWAREKasperskyLab] [HKLMSOFTWAREMcAfee] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunZone Labs Client] [HKLMSOFTWAREPanda Software] [HKLMSOFTWARESymantec] [HKLMSOFTWAREZone Labs]
Также выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
Изменяет файл %System%driversetchosts, оставляя в нем только следующую запись:
127.0.0.1 localhost
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com