RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Iksmas.cg
| Время детектирования | 17 янв 2009 06:03 MSK |
| Время выпуска обновления | 17 янв 2009 10:22 MSK |
| Описание опубликовано | 20 апр 2010 11:29 MSK |
Деструктивная активность
Технические детали
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
RList = "<random character>"
[HKCU\Software\Microsoft\Windows\CurrentVersion]
MyID = "<random character>"
Деструктивная активность
При запуске программа выполняет поиск адресов электронный почты на компьютере, найденные адреса программа в зашифрованной форме отсылает на адреса злоумышленника при помощи HTTP POST запроса. В ответ на данный запрос программа также может получить команду на скачивание другого вредоносного программного обеспечения. Далее программа рассылает по всем найденным и полученным от злоумышленника электронным почтовым адресам письма, содержащие ссылку на адрес
http://mirabellamotors.com/index.phpна котором предположительно раньше находилась вредоносная программа.
Также программа обновляет свою версию, скачивая её с электронного адреса
http://mirabellamotors.com/index.php
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Trojan:
Generic Downloader. x (McAfee) - W32/Waled-Gen (Sophos)
- Heuristic.
WinPE-Statistical (Panda) - W32/Downloader.
F. gen!Eldorado (FPROT) - Trojan:
Win32/Waledac. gen!A (MS(OneCare)) - Trojan.
Spambot. 4331 (DrWeb) - Win32/Waledac trojan (Nod32)
- Trojan.
Generic. 2605562 (BitDef7) - Trojan.
Waledac. Gen (VirusBuster) - Win32:
Waledac-U [Wrm] (AVAST) - Email-Worm.
Win32. Iksmas (Ikarus) - Downloader.
Generic_r. CL (AVG) - TR/Proxy.
Gen (AVIRA) - W32.
Waledac (NAV) - Waledac.
C (Norman) - Email-Worm.
Win32. Iksmas. cg [AVP] (FSecure) - WORM_IKSMAS.
M (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей