I-Worm.Skybag.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером 205КБ.

Инсталляция

Во время запуска червь может выводить сообщение:

Windows encountered an error reading the file

После запуска червь копирует себя в системный каталог Windows с именами:

bloodred.exe
Windows_kernel32.exe

Также в системном каталоге Windows червь создает следующие файлы:

base64exe.sys
base64zip.sys
frun.txt

В каталоге Windows червь создает файл "bloodred.zip".

I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Microsoft Kernel"="%System%\Windows_kernel32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
doc
htm
html
jsp
rtf
txt
xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@fsecure
@hotmail
@microsoft
@mm
@msn
@noreply
@norman
@norton
@panda
@sopho
@symantec
@virusli

Характеристики зараженных писем

Адрес отправителя:

Выбирается из списка:

administration@<домен получателя> 
management@<домен получателя> 
server@<домен получателя> 
service@<домен получателя> 
userhelp@<домен получателя>

Тема письма:

Выбирается из списка:

Detailed Information
Email Account Information
Server Error
URGENT PLEASE READ!
Urgent Update!
User Info
User Information

Текст письма:

Выбирается из вариантов:

Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.

Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details

Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment

We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.

Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment

There is urgent information in the attachment regarding your Email account

Имя файла-вложения:

Выбирается из списка:

Account_Information
Details
Gift
Information
Update
Word_Document

Возможные расширения: cmd, pif, scr, zip.

Размножение через локальную и файлообменные сети

Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:

ACDSEE10.exe
Adobe Photoshop Full Version.exe
Battlefield 1942.exe
Brianna banks and jenna jameson.mpeg ..exe
Britney spears naked.jpeg .exe
Cisco source code.zip ..exe
DVD Xcopy xpress.exe
jenna jameson screensaver.scr
Kazaa Lite.zip ..exe
NETSKY SOURCE CODE.zip ..exe
Norton AntiVirus 2004.exe
Opera Registered version.exe
Snood new version.exe
Teen Porn.mpeg ..exe
Visual Studio.NET.zip .exe
WinAmp 6.exe
Windows crack.zip ..exe
Windows Longhorn Beta.exe
WINDOWS SOURCE CODE.zip ..exe
WinRAR.exe

Действие

I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.

Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:

127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com

После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com.

Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.

Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.