Пользователь
Забыли пароль? Регистрация
Горячие новости
Сейчас на сайте

Пользователей на сайте: 209

0 пользователей, 209 гостей

I-Worm.Mydoom.q

"Лаборатория Касперского" сообщает об увеличении числа перехватов почтового червя I-Worm.Mydoom.q. Червь распространяется через интернет в виде вложений в зараженные электронные письма.

Червь написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде - 27136 байт, в распакованном - 65024 байта.

Червь запускается только в случае запуска пользователем вложения из полученного зараженного письма.

Полное описание далее
Инсталляция
После запуска копирует свой файл в каталог Windows под именем "rasor38a.dll" и в системный каталог Windows под именем "winpsd.exe".

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winpsd"="<системный каталог Windows>\winpsd.exe"
Также червь создает уникальный идентификатор "43jfds93872" для определения своего присутствия в системе.

Размножение
Червь ищет email-адреса для рассылки зараженных писем в файлах на жестких дисках с расширениями:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
txt
wab
Зараженные письма
Заголовок письма:
Photos
Текст письма:
LOL!;))))
Имя вложения:
photos_arc.exe
Действие
Червь пытается загрузить файл с одного из адресов, прописанных в его теле (окончания ссылок заменены на "x" из соображений безопасности):

http://www.richcolour.com/ispy.x.xxx
http://www.richcolour.com/coco3.xxx
http://www.richcolour.com/guestbook/temp/temp587.xxx
http://zenandjuice.com/guestbook/temp/temp728.xxx
Данный файл является программой удаленного администрирования Backdoor.Win32.Surila.g.

В случае успешной загрузки, файл сохраняется в каталоге Windows под именем "winvpn32.exe" и запускается. Также в системном реестре создается флаг, сигнализирующий об успешной загрузке файла:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
"InstaledFlashhMX"="1"
Червь проверяет состояние этого флага, и в случае если он имеет значение "1", повторные загрузки файла производить не пытается.

Прочее
Механизмы распространения данной версии червя прекратят свою деятельность 20 августа 2004 года после 21:11:11, однако установленный на зараженном компьютере Backdoor.Win32.Surila.g останется работоспособным.

www.viruslist.com

Безопасность Прямая ссылка Добавил: slayer 16.08.2004 23:01

|


Добавить комментарий