Класс | Virus |
Платформа | MSAccess |
Описание |
Technical DetailsИнтернет-червь, включающий несколько компонентов, инфицирует Win32-компьютеры и распространяется по email в виде присоединенного EXE-файла. Также червь способен делать «upgrade» самого себя через интернет с некого Web-сайта. I-Worm.Sonic содержит два основных компонента: Loader («загрузчик») и Main («главный») компонент. «Загрузчик» представляет собой Windows EXE-файл размером около 25K (этот файл является сжатым UPX-компрессией — утилитой для сжатия PE EXE файлов, после распаковки размер файла составляет приблизительно 70K).
где «WinSystem» — имя каталога Windows. В результате червь будет грузиться при каждом последующем перезапуске системы.
где FileName — это настоящее имя файла, из которого червь запускается. После этого червь активизирует свой Main-компонент: он пытается загрузить Web-страницу http://www.geocities.com/olivier1548/ и скачать оттуда несколько файлов:
Файлы nn.ZIP и GATEWAY.ZIP — неархивированные зашифрованные Windows EXE-файлы. Loader-компонент расшифровывает их, копирует в директорию Windows и запускает. В результате Main-компонент оказывается активизированным на зараженном компьютере. Main-компонент является Windows EXE-файлом размером около 40K (файл сжат UPX-компрессией, после раскрытия размер файла составляет приблизительно 120K). Он инсталлируется в корневую директорию Windows с именем GDI32A.EXE и регистрируется в системном реестре подобно Loader-компоненту (как описано выше). При определенных условиях «главный» компонент открывает базу данных WAB (Windows Address Book), считывает из нее адреса электронной почты и рассылает по ним инфицированные email-сообщения. Известная на данный момент версия червя рассылает следующие письма:
«Главный» компонент червя ко всему прочему имеет Backdoor-способности — осуществляет наблюдение за инфицированной машиной и ее ресурсами с удаленной станции. |
Узнай статистику распространения угроз в твоем регионе |