Всё о вирусах. Черви. Тех характеристики. |
Назад на главную. |
|
Всё о вирусах. Черви. Тех характеристики.
Email-черви Email-Worm.Win32.Zafi.d Другие версии: .a, .b, .c Другие названия Email-Worm.Win32.Zafi.d («Лаборатория Касперского») также известен как: W32.Erkez.D@mm (Symantec), Win32.HLLM.Hazafi.36864 (Doctor Web), W32/Zafi-D (Sophos), Win32/Zafi.D@mm (RAV), WORM_ZAFI.GEN (Trend Micro), Worm/Zafi.D (H+BEDV), W32/Zafi.D@mm (FRISK), I-Worm/Zafi.D (Grisoft), Win32.Zafi.D@mm (SOFTWIN), Worm.Zafi.D (ClamAV), W32/Zafi.D.worm (Panda), Win32/Zafi.D (Eset) Детектирование добавлено 15 дек 2004 Описание опубликовано 15 дек 2004 Поведение Email-Worm, почтовый червь Технические детали Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB. Червь содержит в себе бэкдор-функцию. Инсталляция После запуска червь выдает следующее окно: При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "Wxp4"="C:WINDOWSSYSTEM32Norton Update.exe" Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll. Например: %System%csnhzdsb.dll %System%gzapvzry.dll %System%hrdkwxwu.dll %System%icvwceot.dll В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере. Также червь создает следующую запись в системном реестре: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4] Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе. Размножение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями: adb asp dbx eml fpt htm inb mbx php pmr sht tbb txt wab Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows. Игнорируется отправка писем на адреса, содержащие строки: admi cafee help hotm info kasper micro msn panda secur sopho suppor syman trend use viru webm win yaho Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Характеристики зараженных писем Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя. Тема письма: Выбирается из списка: boldog karacsony... Buon Natale! Christmas - Kartki! Christmas Kort! Christmas pohlednice Christmas postikorti! Christmas Postkort! Christmas Vykort! ecard.ru Feliz Navidad! Joyeux Noel! Merry Christmas! Prettige Kerstdagen! Weihnachten card. Текст письма: Выбирается из списка: Happy HollyDays! :) [Sender] Kellemes Unnepeket! :) [Sender] Feliz Navidad! :) [Sender] Glaedelig Jul! :) [Sender] God Jul! :) [Sender] Iloista Joulua! :) [Sender] Naulieji Metai! :) [Sender] Wesolych Swiat! :) [Sender] Frohliche Weihnachten! :) [Sender] Prettige Kerstdagen! :) [Sender] Vesele Vanoce! :) [Sender] Joyeux Noel! :) [Sender] Buon Natale! :) [Sender] Имя файла-вложения: Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений: bat cmd com pif zip Размножение через локальные и файлообменные сети Червь копирует свой файл во все папки, в имени которых встречаются строки: music share upload Имя для файла выбирается из следующих вариантов: ICQ 2005a new!.exe winamp 5.7 new!.exe Например: c:Program FilesCommon FilesMicrosoft Shared ICQ 2005a new!.exe Удаленное администрирование Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы. Действие Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями. |