На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Email-Worm

Email-Worm.Win32.Zhelatin.h

29.01.2007

Email-Worm.Win32.Zhelatin.h

Почтовый червяк, исполняемый файл имеет размер 50629 байта, сжат UPX.
1. Удаляет ключ автозапуска «Agent» из ключа реестра Windows\CurrentVersion\Run
2. Переключает режим запуска службы SharedAccess на 4 (отключен), что приводит к блокировке встроенного Firewall
3. Создает файл iro6L3h.exe (размером 35 кб, UPX) и запускает его. Имя данного исполняемого файла генерируется при каждом запуске случайным образом.
4. Сканирует файлы на диске для поиска адресов.
5. После сканирования и построения базы адресов начинает рассылку своих копий по почте с использование встроенной реализации SMTP клиента.

В теле червя содержится ряд заготовок для построения письма (в частности, база заголовков вида «The Time for Love», «When You Fall in Love», «Your Love Has Opened», «Bubble Bath Coupon» … таких заготовок около сотни), база имен и шаблон письма, состоящего из текстовой части в кодировке iso-8859-1 и вложения. Несмотря на наличие текстовой части письма в рассылаемых письмах она пустая, т.е. приходящее письмо содержит только заголовок и вложение в виде EXE файла, который является копией червя в чистом виде. Типовые имена вложенных файлов - flash postcard.exe, greeting card.exe, postcard.exe, greeting postcard.exe.

Приложение iro6L3h.exe является компонентом червя для инсталляции kernel-mode кода. Он создает на диске WINDOWS\system32\wincom32.sys и регистрирует его под именем «wincom32» в реестре. Функционирование данной компоненты проявляется в виде активного обмена по портам 11271 и 7871 TCP. Драйвер маскируется по руткит-технологии, перехватывая функции:

Функция NtEnumerateKey (47) перехвачена (8056F76A->F5F8D8A6), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F5F8DA32), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F5F8D546), перехватчик C:\WINDOWS\system32\wincom32.sys
>>>> Подозрение на RootKit wincom32 C:\WINDOWS\system32\wincom32.sys
Перехват данных функций позволяет ему замаскировать ключ в реестре и файл на диске. По принципу работы данный драйвер является усовершенствованной разновидностью Trojan-Downloader.Win32.Small.dam




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.