RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Mydoom.y
| Время детектирования | 15 сен 2004 12:10 MSK |
| Время выпуска обновления | 20 сен 2004 10:54 MSK |
| Описание опубликовано | 15 сен 2004 12:10 MSK |
Технические детали
Сетевой червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, файлообменные сети и уязвимость в службе LSASS Microsoft Windows. Также, червь имеет возможность распространения посредством рассылки своих URL адресов через ICQ.
Написан на языке Microsoft Visual C++. Упакован при помощи UPX. Размер в упакованном виде 69632 байта, в распакованном - 193024 байта.
Инсталляция
При запуске на разных типах операционных систем Windows червь ведет себя по-разному.
При запуске на операционных системах семейства Windows 9x:
Регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RPCserv"="<путь к файлу>"
Cоздает уникальный идентификатор "ertglddfgd" для определения своего присутствия в системе.
При запуске на операционных системах семейства Windows NT:
Копирует свой файл в каталог Windows под именем "services.exe".
Регистрирует себя как службу с именем "NetBios Ext". Прописывается в системном реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBios Ext] "ImagePath"="%Каталог Windows%\services.exe serv" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBios Ext] "ImagePath"="%Каталог Windows%\services.exe serv"
Cоздает уникальный идентификатор "ertglddfgd" для определения своего присутствия в системе.
Размножение через email
Червь ищет email-адреса в файлах с расширениями:
asp cfg cgi dbx dht eml htm |
jsp mbx mht msg php sht stm |
tbb txt uin wab xls |
Рассылка не производится на адреса, содержащие следующие фрагменты:
.gov .mil @foo. @iana abuse accoun acketst admin antivi anyone arin. avp. berkeley borlan bsd certific contact example feste fido fsf. gnu gold-certs google gov. help iana |
ibm.com icq.com icrosof icrosoft ietf info inpris isc.o isi.e kasp kernel linux listserv math messagelabs mit.e mozilla mydomai news nobody nodomai noone noreply nothing ntivi panda pgp |
postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site somebody someone sopho spam submit support syman tanford.e unix upport usenet utgers.ed webmaster www |
Зараженные электронные письма
Характеристики зараженных писем выбираются из приводимых ниже списков произвольным образом.
Почтовый сервер отправителя:
@1access.net @a1isp.net @accessus.net @address.com @ameralinx.net @aol.com @apci.net @arczip.com @aristotle.net @att.net @cableone.net @cais.com @canada.com @cayuse.net @ccp.com @ccpc.net @chello.com @compuserve.com @core.com @cox.net @cybernex.net @dailymail.co.uk @dialupnet.com @earthlink.net @eclipse.net @eisa.com |
@ev1.net @excite.com @fast.net @fcc.net @flex.com @gbronline.com @globalbiz.net @globetrotter.net @gmx.net @highstream.net @hiwaay.net @hotmail.com @ieway.com @inext.fr @infoave.net @iquest.net @isp.com @ispwest.com @istep.com @juno.com @loa.com @macconnect.com @madriver.com @mail.com @msn.com @nccw.net |
@netcenter.com @netrox.net @netzero.net @pacific.net.sg @palm.net @pathlink.com @peoplepc.com @pics.com @rcn.com @ricochet.com @surfree.com @tiscali.com @toad.net @t-online.com @t-online.de @ultimanet.com @verizon.net @wanadoo.com @worldcom.com @worldshare.net @wwc.com @yahoo.co.uk @yahoo.com @ziplink.net |
Заголовок письма:
(no subject) :) :)) 2 new photos FW: FW: (no subject) FW: 2 new photos FW: Cool FW: hello sweety :> FW: hi FW: hi, it's me FW: it's me FW: jenna's photos :) FW: my photos FW: new photos FW: remember me?.. FW: that's me :-D FW:cool FW:COOL! |
FW:fun pictures hello sweety :> hi hi, it's me it's me LOOK! my photos new photos Re: Re:cool Re:COOL! Re:fun pictures Re[2]: Re[2]:cool Re[2]:COOL! Re[2]:fun pictures remember me?.. that's me :-D |
Текст письма:
-----Original Message----- From: Jeny K. Sent: Monday, September 13, 2004 8:57 PM To: Morpheus check my new photos :)) miss you, jeny k
-----Original Message----- From: Jena K. Sent: Monday, September 13, 2004 5:23 AM To: friends Check Out Archive.. So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key
-----Original Message----- From: jenny k. Sent: Monday, September 13, 2004 10:23 AM To: My Tiger (e-mail) new fotos(archived) you asked jenny k
-----Original Message----- From: jenna k. (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: Cat my new fotos archived )) kiss, jenna k
-----Original Message----- From: Jeny Sent: Monday, September 13, 2004 8:57 PM To: Neo see the photos in attached archive :)) kiss you, jeny
-----Original Message----- From: Jena Sent: Monday, September 13, 2004 5:23 AM To: friend Photos in archive.. So.. Am I Hot? :) Waining For Your Answer Jena
-----Original Message----- From: Jenna Knukles Sent: Monday, September 13, 2004 9:05 AM To: Friends Group in self-extracting archive my photos Jenna :)
-----Original Message----- From: jenna (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: ma kittie my photos archived )) kiss, jenna fun flash game! fun flash! game! fun game! Print money at home! look at atach
-----Original Message----- From: Jeny K. Sent: Monday, September 13, 2004 8:57 PM To: Morpheus check out the new photos :)) miss you, jeny k
-----Original Message----- From: Jena K. Sent: Monday, September 13, 2004 5:23 AM To: friends So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key
-----Original Message-----
From: Jenna Knukles
Sent: Monday, September 13, 2004 9:05 AM in archive my new fotos Jenna K :)-----Original Message----- From: jenny k. Sent: Monday, September 13, 2004 10:23 AM To: My Tiger (e-mail) new fotos you asked jenny k
-----Original Message----- From: jenna k. (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: Cat my new fotos zipped )) kiss, jenna k
-----Original Message----- From: Jeny Sent: Monday, September 13, 2004 8:57 PM To: Neo see the photos :)) kiss you, jeny
-----Original Message----- From: Jena Sent: Monday, September 13, 2004 5:23 AM To: friend So.. Am I Hot? :) Waining For Your Answer Jena
-----Original Message----- From: Jenna Knukles Sent: Monday, September 13, 2004 9:05 AM To: Friends Group in archive my photos Jenna :)
-----Original Message----- From: jenny Sent: Monday, September 13, 2004 10:23 AM To: Mr.X (e-mail) photos you asked jenny
-----Original Message----- From: jenna (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: ma kittie my photos zipped )) kiss, jenna
do you know this girl?
do you know this people?
do you know this ppl?
Is it your photo?
LOOK!
my new photos
with best wishes
a lot of fun.
Hello...Funny pic...hehehe
I've never seen this before. Look at that !
Look :)
Hello!
You've got a postcard. To view this postcard, click on the attached filehave you seen this before?
Loool!! :-)
fun
fun pictures
hi! look at new photos
fun flash game!
fun flash!
game!
fun game!
Print money at home!
look at atach
Подпись:
+++ Attachment: No Virus found +++ <подпись антивирусной компании>
Подпись антивирусной компании выбирается из следующего списка:
Bitdefender AntiVirus - www.bitdefender.com F-Secure AntiVirus - www.f-secure.com Kaspersky AntiVirus - www.kaspersky.com MC-Afee AntiVirus - www.mcafee.com MessageLabs AntiVirus - www.messagelabs.com Norman AntiVirus - www.norman.com Norton AntiVirus - www.symantec.de Panda AntiVirus - www.pandasoftware.com
Имя вложения:
2004042301.jpg .pif arc.cpl arc.exe arhive.zip black.gif .pif DCP_0002.JPG .pif document.jpg .pif flowers.jpg .pif foto.cpl foto.exe fotos.cpl fotos.exe fotos.zip images.zip julia038.jpg .pif marie_dancing.jpg .pif me_01.jpg .pif my_foto.cpl my_foto.exe my_photo.jpg .pif my_photos.cpl my_photos.exe my_photos.zip myfoto.cpl myfoto.exe myphotos.zip |
myphotos_arc.exe new_photos.cpl new_photos.exe new_photos.zip new_pic.zip newphotos.cpl newphotos.exe nude_.jpg .pif photo.jpg .pif photo_se.cpl photo_se.exe photo08.jpg .pif photoarchive.cpl photoarchive.exe photofile.cpl photofile.exe photos.exe.safe photos.selfextracting.exe photos.zip photos_arc.cpl photos_arc.exe pic.jpg .pif pic.zip sunny.jpg .pif with_flowers.jpg .pif |
Двойное расширение червь использует для маскировки файлов-вложений, пытаясь выдать их за безобидные JPEG-изображения. В таком случае, имя файла будет иметь приблизительно следующий вид:
document.jpg .pif
Размножение через файлообменные сети
Распространение осуществляется через файлообменную сеть Kazaa.
При копировании файла червя в расшаренные папки системы файлообмена могут использоваться следующие имена файлов:
1.exe antibush.scr childporno.pif coolgame.zip .exe crazzygirls.scr dap53 crack.exe dap53.exe dap71.exe dvdplayer.exe eroticgirls2.0.exe fantasy.scr hello.pif icq2004-final.exe icqcrack.exe icqlite.exe icqpro2003b crack.exe icqpro2003b.exe iMeshV4 crack.exe iMeshV4.exe kmd.exe LimeWireWin.exe matrix.scr Morpheus.exe |
mult.exe myfack.pif mylove.pif mymusic.pif mynewphoto.zip .exe newvirus.exe nicegirlsshowv12.scr opera7.7.exe opera7.x crack.exe pinguin5.exe rulezzz.scr trillian 2.0 crack.exe trillian-v2.74h.exe tropicallagoonss.scr winamp5.exe winamp6.exe WinZip 9.0 crack.exe WinZip 9.0.exe wrar330 crack.exe wrar330.exe you the best.scr zlsSetup_45_538_001.exe |
Для маскировки, червь случайным образом изменяет размер пересылаемого файла, дописывая в него "мусор".
Размножение через ICQ
Червь использует ICQ для незаметной рассылки URL адресов, содержащих его тело. Рассылаемые сообщения имеют следующий вид:
best game http://65.110.51.XXX/icon/game.exe ;-);-);-) fun game http://www.scionicmusic.com/XXX/game.exe :-):-):-) funn http://64.40.98.XXX/icon/game.exe :-):-):-) funy game http://www.scionicmusic.com/XXX/game.exe ;-);-);-) http://64.40.98.XXX//icon/game.exe :-):-) http://64.40.98.XXX/icon/game.exe funny :-);-) http://65.110.51.XXX/icon/game.exe ;-);-);-);-) http://65.110.51.XXX/icon/game.exe LOL!! ;-);-);-) http://www.XXX.unibo.it/claroline142/photo.exe i cried :-) http://www.XXX.unibo.it/claroline142/photo.exe lol :-):-) i now play in game http://www.scionicmusic.com/XXX/game.exe :-):-) my photos (archived)http://www.XXX.unibo.it/claroline142/photo.exe
Действие
Для получения свободного доступа в интернет, червь регистрирует себя в FirewallPolicy, становясь, таким образом, "легальной программой". После этого червь отключает возможность изменения системного реестра.
Червь прекращает работу следующих процессов:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ADAWARE.EXE ADVXDWIN.EXE AGENTSVR.EXE AGENTW.EXE ALERTSVC.EXE ALEVIR.EXE ALOGSERV.EXE AMON9X.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ARR.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AU.EXE AUPDATE.EXE AUTODOWN.EXE AUTO-PROTECT.NAV80TRY.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVE32.EXE AVGCC32.EXE AVGCTRL.EXE AVGNT.EXE AVGSERV.EXE AVGSERV9.EXE AVGUARD.EXE AVGW.EXE AVKPOP.EXE AVKSERV.EXE AVKSERVICE.EXE AVKWCTl9.EXE AVLTMAIN.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVSYNMGR.EXE AVWIN95.EXE AVWINNT.EXE AVWUPD.EXE AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE b055262c.dll backdoor.rbot.gen.exe backdoor.rbot.gen_(17).exe BACKWEB.EXE BARGAINS.EXE BD_PROFESSIONAL.EXE BEAGLE.EXE BELT.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BLSS.EXE BOOTCONF.EXE BOOTWARN.EXE BORG2.EXE BPC.EXE BRASIL.EXE BS120.EXE BUNDLE.EXE BVT.EXE CCAPP.EXE CCEVTMGR.EXE CCPXYSVC.EXE CDP.EXE CFD.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE Claw95.EXE CLAW95CF.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLICK.EXE CMD32.EXE CMESYS.EXE CMGRDIAN.EXE CMON016.EXE CONNECTIONMONITOR.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CTRL.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE d3dupdate.exe dailin.exe DATEMANAGER.EXE DCOMX.EXE DEFALERT.EXE DEFSCANGUI.EXE DEFWATCH.EXE DEPUTY.EXE DLLCACHE.EXE DLLREG.EXE DOORS.EXE DPF.EXE DPFSETUP.EXE DPPS2.EXE DRWATSON.EXE DRWEB32.EXE DRWEBUPW.EXE DSSAGENT.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFPEADM.EXE EMSW.EXE ENT.EXE ESAFE.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE ESPWATCH.EXE ETHEREAL.EXE ETRUSTCIPE.EXE EVPN.EXE EXANTIVIRUS-CNET.EXE EXE.AVXW.EXE EXPERT.EXE EXPLORE.EXE F-AGNT95.EXE F-AGOBOT.EXE FAMEH32.EXE FAST.EXE FCH32.EXE FIH32.EXE FINDVIRU.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FNRB32.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAA.EXE FSAV.EXE FSAV32.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE FSGK32.EXE FSM32.EXE FSMA32.EXE FSMB32.EXE F-STOPW.EXE fvprotect.exe GATOR.EXE GBMENU.EXE GBPOLL.EXE GENERICS.EXE GfxAcc.exe GMT.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HBINST.EXE HBSRV.EXE HIJACKTHIS.EXE HOTACTIO.EXE HOTPATCH.EXE HTLOG.EXE HTPATCH.EXE HWPE.EXE hxdef.exe HXDL.EXE HXIUL.EXE IAMAPP.EXE IAMSERV.EXE IAMSTATS.EXE IAOIN.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IDLE.EXE IEDLL.EXE IEDRIVER.EXE IFACE.EXE IFW2000.EXE INETLNFO.EXE INFUS.EXE INFWIN.EXE INIT.EXE INTDEL.EXE INTREN.EXE IOMON98.EXE IPARMOR.EXE IRIS.EXE ISASS.EXE ISRV95.EXE ISTSVC.EXE JAMMER.EXE jammer2nd.exe JDBGMRG.EXE JEDI.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KAVPF.EXE KEENVALUE.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KERNEL32.EXE KILLPROCESSSETUP161.EXE LAUNCHER.EXE LDNETMON.EXE LDPRO.EXE LDPROMENU.EXE LDSCAN.EXE LNETINFO.EXE LOADER.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LORDPE.EXE LSETUP.EXE LUALL.EXE LUAU.EXE LUCOMSERVER.EXE LUINIT.EXE LUSPT.EXE MAPISVC32.EXE MCAGENT.EXE MCMNHDLR.EXE MCSHIELD.EXE MCTOOL.EXE MCUPDATE.EXE MCVSRTE.EXE MCVSSHLD.EXE MD.EXE MFIN32.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGAVRTCL.EXE MGAVRTE.EXE MGHTML.EXE MGUI.EXE MINILOG.EXE MMOD.EXE MONITOR.EXE MOOLIVE.EXE MOSTAT.EXE MPFAGENT.EXE MPFSERVICE.EXE MPFTRAY.EXE MRFLUX.EXE MSAPP.EXE MSBB.EXE MSBLAST.EXE MSCACHE.EXE MSCCN32.EXE MSCMAN.EXE MSCONFIG.EXE MSDM.EXE MSDOS.EXE MSIEXEC16.EXE MSINFO32.EXE MSLAUGH.EXE MSMGT.EXE MSMSGRI32.EXE MSSMMC32.EXE msssss.exe MSSYS.EXE |
MSVXD.EXE MU0311AD.EXE MWATCH.EXE N32SCANW.EXE NAV.EXE NAVAP.NAVAPSVC.EXE NAVAPSVC.EXE NAVAPW32.EXE NAVDX.EXE NAVENGNAVEX15.NAVLU32.EXE NAVLU32.EXE NAVNT.EXE NAVSTUB.EXE NAVW32.EXE NAVWNT.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NEOWATCHLOG.EXE NETARMOR.EXE NETD32.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETUTILS.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NOD32.EXE NORMIST.EXE NORTON_INTERNET_SECU_3.0_407.EXE NOTSTART.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NPSCHECK.EXE NPSSVC.EXE NSCHED32.EXE NSSYS32.EXE NSTASK32.EXE NSUPDATE.EXE NT.EXE NTRTSCAN.EXE NTXconfig.EXE NUI.EXE NUPGRADE.EXE NVARCH16.EXE NVC95.EXE NWINST4.EXE NWSERVICE.EXE NWTOOL16.EXE OLLYDBG.EXE ONSRVR.EXE OPTIMIZE.EXE OSTRONET.EXE OTFIX.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PATCH.EXE PAVCL.EXE PAVPROXY.EXE PAVSCHED.EXE PAVW.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCCNTMON.EXE PCCWIN97.EXE PCCWIN98.EXE PCDSETUP.EXE PCFWALLICON.EXE PCIP10117_0.EXE PCSCAN.EXE PDSETUP.EXE PENIS.EXE PERISCOPE.EXE PERSFW.EXE PERSWF.EXE PF2.EXE PFWADMIN.EXE PGMONITR.EXE PINGSCAN.EXE PLATIN.EXE POP3TRAP.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PORTMONITOR.EXE POWERSCAN.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PRIZESURFER.EXE PRMT.EXE PRMVR.EXE PROCDUMP.EXE PROCESSMONITOR.EXE PROCEXPLORERV1.0.EXE PROGRAMAUDITOR.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE PURGE.EXE PUSSY.EXE PVIEW95.EXE QCONSOLE.EXE QSERVER.EXE RAPAPP.EXE rasmngr.exe RAV7.EXE RAV7WIN.EXE RAV8WIN32ENG.EXE RAVMOND.exe RAY.EXE RB.EXE RB32.EXE RCSYNC.EXE REALMON.EXE REGED.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RTVSCAN.EXE RTVSCN95.EXE RULAUNCH.EXE RUNDLL.EXE RUNDLL16.EXE RUXDLL32.EXE SAFEWEB.EXE SAHAGENT.EXE SAVE.EXE SAVENOW.EXE SBSERV.EXE SC.EXE SCAM32.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SCRSVR.EXE SD.EXE SERV95.EXE SERVLCE.EXE SERVLCES.EXE SETUP_FLOWPROTECTOR_US.EXE SETUPVAMEEVAL.EXE SFC.EXE SGSSFW32.EXE SH.EXE SHELLSPYINSTALL.EXE SHN.EXE SHOWBEHIND.EXE SMC.EXE SMS.EXE SMSS32.EXE SOAP.EXE SOFI.EXE SPERM.EXE SPF.EXE SPHINX.EXE SPOOLCV.EXE SPOOLSV32.EXE SPYXX.EXE SREXE.EXE SRNG.EXE SS3EDIT.EXE SSG_4104.EXE SSGRATE.EXE ssgrate.exe ST2.EXE START.EXE STCLOADER.EXE SUPFTRL.EXE SUPPORT.EXE SUPPORTER5.EXE SVC.EXE SVCHOSTC.EXE SWEEP95.EXE SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE SYMPROXYSVC.EXE SYMTRAY.EXE SYSEDIT.EXE SYSTEM.EXE SYSTEM32.EXE Systra.exe SYSUPD.EXE sysxp.exe taskmanagr.exe TASKMO.EXE TASKMON.EXE TAUMON.EXE TBSCAN.EXE TC.EXE TCA.EXE TCM.EXE TDS2-98.EXE TDS2-NT.EXE TDS-3.EXE TEEKIDS.EXE TFAK.EXE TFAK5.EXE TGBOB.EXE TITANIN.EXE TITANINXP.EXE TRACERT.EXE TRICKLER.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE TSADBOT.EXE TVMD.EXE TVTMD.EXE UNDOBOOT.EXE UPDAT.EXE UPDATE.EXE UPGRAD.EXE UTPOST.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VBWIN9X.EXE VBWINNTW.EXE VCSETUP.EXE VET32.EXE VET95.EXE VETTRAY.EXE VFSETUP.EXE VIR-HELP.EXE VIRUSMDPERSONALFIREWALL.EXE VisualGuard.exe VNLAN300.EXE VNPC3000.EXE VPC32.EXE VPC42.EXE VPFW30S.EXE VPTRAY.EXE VSCAN40.EXE VSCENU6.02D30.EXE VSCHED.EXE VSECOMR.EXE VSHWIN32.EXE VSISETUP.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE VSWIN9XE.EXE VSWINNTSE.EXE VSWINPERSE.EXE W32DSM89.EXE W9X.EXE WATCHDOG.EXE WEBDAV.EXE WEBSCANX.EXE WEBTRAP.EXE WFINDV32.EXE WGFE95.EXE WHOSWATCHINGME.EXE WIMMUN32.EXE WIN32.EXE WIN32US.EXE WINACTIVE.EXE WIN-BUGSFIX.EXE WINDOW.EXE WINDOWS.EXE WININETD.EXE WININIT.EXE WININITX.EXE WINLOGIN.EXE WINMAIN.EXE WINPPR32.EXE WINRECON.EXE WINSSK32.EXE WINSTART.EXE WINSTART001.EXE WINTSK32.EXE WINUPDATE.EXE winxp.exe WKUFIND.EXE WNAD.EXE WNT.EXE wowpos32.exe WRADMIN.EXE WRCTRL.EXE wuamga.exe wuamgrd.exe WUPDATER.EXE WUPDT.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZONALM2601.EXE ZONEALARM.EXE |
После этого червь удаляет связанные с этими процессами исполняемые файлы.
Таким образом червь избавляется от нежелательных для себя "соседей": антивирусных программ, межсетевых экранов, а также некоторых вредоносных программ.
Червь полностью блокирует пользователю доступ к сайтам антивирусных компаний, изменяя соответствующим образом файл
Червь пытается загрузить файл с одного из следующих адресов (часть символов в них заменена на "xxx" по соображениям безопасности):
http://64.40.98.94/xxx/images/apache.gif http://www.il-legno.it/xxx/postmsg.gif http://www.llc.unibo.it/xxx/claroline/index.gif http://www.masteratwork.com/xxx/wassup/00000008.cgi http://www.mercyships.de/html/xxx/guestbook/data/data2.dat http://www.professionals-active.com/xxx/click.dat http://www.scionicmusic.com/xxx/cover_v3.jpg
Данный файл является программой удаленного администрирования Backdoor.Win32.Surila.k.
В случае успешной загрузки, файл сохраняется в одном из произвольных каталогов с произвольным именем, состоящим из произвольного числа цифр, и запускается.
В системном реестре при этом создается флаг, сигнализирующий об успешной загрузке файла:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer] "dflag22"="1"
Червь проверяет состояние этого флага, и в случае если он установлен в "1", повторные загрузки файла производить не пытается.
Прочее
Данная версия червя прекратит свою деятельность 19 сентября 2004 года после 01:18:31.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Mydoom. y («Лаборатория Касперского») - I-Worm.
Mydoom. y («Лаборатория Касперского»)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей