Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияEmail-Worm.Win32.Scano.b

Email-Worm.Win32.Scano.b

Время детектирования 14 апр 2006 07:14 MSK
Время выпуска обновления 14 апр 2006 07:14 MSK
Описание опубликовано 26 апр 2006 15:35 MSK

Технические детали
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ, упакован Upack. Размер распакованного файла около 85 KБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь открывает следующую страницу в окне Internet Explorer:

http://www.nah**.com/

При инсталляции червь копирует себя с именем csrss.exe в корневой каталог Windows:

%Windir%\csrss.exe

После чего создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
 "Debugger"="%Windir%\csrss.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices]  "explorer.exe"="explorer.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
cfg
cgi
dbx
dhtm
dhtml
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

0
2003
2004
2005
2006
@avp.
@example.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
@subscribe
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
qmail
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Имя файла-вложения:

Во вложение зараженных писем червь помещает исполняемый CPL-файл.

Имя файла выбирается произвольным образом из списка:

  • cool
  • me
  • new
  • Re
  • you

Вложения могут иметь двойное расширение. Одно из расширений выбирается произвольным образом из списка:

  • avi
  • cab
  • doc
  • mpg
  • txt

Удаленное администрирование

Червь открывает и затем отслеживает произвольный TCP порт для приема команд от злоумышленника.

Действия

Червь соединяется со следующими удаленными серверами для загрузки других файлов без ведома пользователя:

  • http://207.**.250.119
  • http://84.**.161.192
  • http://85.249.**.35

Рекомендации по удалению

  • Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
  • Удалите из системного реестра следующие записи:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
     "Debugger"="%Windir%\csrss.exe"

    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices]
     "explorer.exe"="explorer.exe"

  • Удалите из корневого каталога Windows следующий файл:

    %Windir%\csrss.exe
  • Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

  • Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.


Другие модификации
Email-Worm.Win32.Scano.e
Email-Worm.Win32.Scano.l

Другие названия

Email-Worm.Win32.Scano.b («Лаборатория Касперского») также известен как:

  • Email-Worm.Win32.Bagle.fy («Лаборатория Касперского»)
  • Trojan-Dropper.Win32.Agent.ami («Лаборатория Касперского»)
  • Trojan-Spy.Win32.Agent.lz («Лаборатория Касперского»)
  • Virus: W32/Areses.b@MM (McAfee)
  • Virus: W32/Areses.c@MM (McAfee)
  • Virus: W32/Areses.i@MM (McAfee)
  • Troj/Bckdr-HMB (Sophos)
  • W32/Bagle-GN (Sophos)
  • W32/Bagle-GM (Sophos)
  • Trojan.Dropper.Small-68 (ClamAV)
  • Trojan.Dropper.Agent-16 (ClamAV)
  • Trojan.Dropper.Small-66 (ClamAV)
  • Heuristic.WinPE-Statistical (Panda)
  • W32/Areses.J.worm (Panda)
  • W32/Areses.CF.worm (Panda)
  • W32/Dropper.BHJ (FPROT)
  • Dropper (FPROT)
  • Worm:Win32/Scano.dr (MS(OneCare))
  • Trojan.MulDrop.3560 (DrWeb)
  • Win32.HLLM.Perf (DrWeb)
  • Win32/TrojanDropper.Agent.AMI trojan (Nod32)
  • Trojan.Dropper.Agent.AY (BitDef7)
  • Trojan.PSW.LdPinch.r (BitDef7)
  • Trojan.Downloader.Bagle.GM (BitDef7)
  • Trojan.DR.Agent.BGY (VirusBuster)
  • Trojan.DR.Agent.BHA (VirusBuster)
  • Trojan.DR.Agent.BDA (VirusBuster)
  • Win32:Trojano-Q [Trj] (AVAST)
  • Email-Worm.Win32.Scano.b (Ikarus)
  • Dropper.Generic.ETY (AVG)
  • Dropper.Generic.EUL (AVG)
  • Dropper.Agent.AXC (AVG)
  • TR/Drop.Agent.ami.5 (AVIRA)
  • TR/PSW.WOW.u (AVIRA)
  • TR/Drop.Scano.B (AVIRA)
  • TR/Hijacker.Gen (AVIRA)
  • Trojan.Dropper (NAV)
  • W32.Beagle.EA@mm (NAV)
  • W32/Scano.BI (Norman)
  • W32/Scano.R (Norman)
  • W32/Agent.ZLT (Norman)
  • W32/Scano.Q (Norman)
  • W32/Scano.B@mm (Norman)
  • W32/Areses.b@MM (NAI)
  • WORM_ARESES.C (PCCIL)
  • Trojan.Agent.bhl (Rising)
  • Trojan.Agent.bhn (Rising)
  • Worm.Mail.Scano.h (Rising)
  • Email-Worm.Win32.Scano.b [AVP] (FSecure)
  • WORM_ARESES.C (TrendMicro)
  • WORM_ARESES.GEN1 (TrendMicro)
  • Trojan-Dropper.Multi.Gen (Sunbelt)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.DR.Agent.BGY (VirusBusterBeta)
  • Trojan.DR.Agent.BHA (VirusBusterBeta)
  • Trojan.DR.Agent.BDA (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск