Всё о вирусах. Черви. Тех характеристики.

Email-черви
Email-Worm.Win32.Zafi.d
Другие версии: .a, .b, .c
Другие названия
Email-Worm.Win32.Zafi.d («Лаборатория Касперского») также известен как: W32.Erkez.D@mm (Symantec), Win32.HLLM.Hazafi.36864 (Doctor Web), W32/Zafi-D (Sophos), Win32/Zafi.D@mm (RAV), WORM_ZAFI.GEN (Trend Micro), Worm/Zafi.D (H+BEDV), W32/Zafi.D@mm (FRISK), I-Worm/Zafi.D (Grisoft), Win32.Zafi.D@mm (SOFTWIN), Worm.Zafi.D (ClamAV), W32/Zafi.D.worm (Panda), Win32/Zafi.D (Eset) Детектирование добавлено 15 дек 2004
Описание опубликовано 15 дек 2004
Поведение Email-Worm, почтовый червь
Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция
После запуска червь выдает следующее окно:

При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"Wxp4"="C:WINDOWSSYSTEM32Norton Update.exe"
Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll.

Например:

%System%csnhzdsb.dll
%System%gzapvzry.dll
%System%hrdkwxwu.dll
%System%icvwceot.dll
В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере.

Также червь создает следующую запись в системном реестре:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4]
Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе.

Размножение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
eml
fpt
htm
inb
mbx
php
pmr
sht
tbb
txt
wab
Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows.

Игнорируется отправка писем на адреса, содержащие строки:

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
secur
sopho
suppor
syman
trend
use
viru
webm
win
yaho
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем
Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Тема письма:
Выбирается из списка:

boldog karacsony...
Buon Natale!
Christmas - Kartki!
Christmas Kort!
Christmas pohlednice
Christmas postikorti!
Christmas Postkort!
Christmas Vykort!
ecard.ru
Feliz Navidad!
Joyeux Noel!
Merry Christmas!
Prettige Kerstdagen!
Weihnachten card.
Текст письма:
Выбирается из списка:

Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Frohliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Vesele Vanoce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]
Имя файла-вложения:
Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений:

bat
cmd
com
pif
zip
Размножение через локальные и файлообменные сети
Червь копирует свой файл во все папки, в имени которых встречаются строки:

music
share
upload
Имя для файла выбирается из следующих вариантов:

ICQ 2005a new!.exe
winamp 5.7 new!.exe
Например:

c:Program FilesCommon FilesMicrosoft Shared ICQ 2005a new!.exe
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Действие
Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями.