Detect date
28/08/2007
Класс
Trojan-Downloader
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Downloader

Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Червь содержит в себе бэкдор-функцию.

Червь представляет собой PE EXE-файл, размером 24493 байт.

Инсталляция

После запуска червь копирует себя с именем svc111.exe в системный каталог Windows:

%System%svc111.exe

Распространение через email

Данный вариант червя не ищет электронные адреса потенциальных жерт на зараженном компьютере. Червь имеет возможность загрузить из интернета файлы, содержащие адреса электронной почты будущих жертв. Червь содержит весьма объемный список интернет-страниц, с которых можно скачать данные файлы.

Червь рассылает зараженные письма по всем содержащимся в скаченном файле адресам электронной почты. Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Зараженные письма имеют пустое поле темы и не имеют тела письма. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.

Тема письма:

<пустое поле>

Текст письма:

<пустое поле>

Имя файла-вложения:

Выбирается произвольным образом из списка:
  • (-).zip
  • -))).zip
  • Diary.zip
  • The_important_document.zip
  • To_the_daddy.zip
  • War_of_the_worlds.zip

Архив содержит следующий файл:

(-).cpl

Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Bagle.cr.

Удаленное администрирование

Червь открывает и затем отслеживает TCP-порт 80 для приема команд от злоумышленника.

Действия компонента (-).cpl

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла 14253 байта.

После запуска на компьютере данный файл открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции (-).cpl создает в корневом каталоге Windows файл с именем cjector.exe:

%Windir%cjector.exe

После чего создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe:

%System%winshost.exe



%System%wiwshost.exe

Затем регистрирует себя в ключах автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]



 "winshost.exe"="%System%winshost.exe"

Действие

Компонент (-).cpl содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.

С целью блокирования запуска антивирусов и межсетевых экранов файл червя удаляет следующие ключи реестра:

[HKLMSOFTWAREAgnitum]



[HKLMSOFTWAREKasperskyLab]



[HKLMSOFTWAREMcAfee]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee Guardian]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAV CfgWiz]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor]



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunZone Labs Client]



[HKLMSOFTWAREPanda Software]



[HKLMSOFTWARESymantec]



[HKLMSOFTWAREZone Labs]

Также выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Изменяет файл %System%driversetchosts, оставляя в нем только следующую запись:

127.0.0.1 localhost

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.