I-Worm.Skybag.a
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл, размером 205КБ.
Инсталляция
Во время запуска червь может выводить сообщение:
Windows encountered an error reading the file
После запуска червь копирует себя в системный каталог Windows с именами:
bloodred.exe Windows_kernel32.exe
Также в системном каталоге Windows червь создает следующие файлы:
base64exe.sys base64zip.sys frun.txt
В каталоге Windows червь создает файл "bloodred.zip".
I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe"
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:
adb asp dbx doc htm html jsp rtf txt xml
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
@avp @fsecure @hotmail @microsoft @mm @msn @noreply @norman @norton @panda @sopho @symantec @virusli
Характеристики зараженных писем
Адрес отправителя:
Выбирается из списка:
administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя>
Тема письма:
Выбирается из списка:
Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information
Текст письма:
Выбирается из вариантов:
Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details
Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment
We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.
Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment
There is urgent information in the attachment regarding your Email account
Имя файла-вложения:
Выбирается из списка:
Account_Information Details Gift Information Update Word_Document
Возможные расширения: cmd, pif, scr, zip.
Размножение через локальную и файлообменные сети
Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:
ACDSEE10.exe Adobe Photoshop Full Version.exe Battlefield 1942.exe Brianna banks and jenna jameson.mpeg ..exe Britney spears naked.jpeg .exe Cisco source code.zip ..exe DVD Xcopy xpress.exe jenna jameson screensaver.scr Kazaa Lite.zip ..exe NETSKY SOURCE CODE.zip ..exe Norton AntiVirus 2004.exe Opera Registered version.exe Snood new version.exe Teen Porn.mpeg ..exe Visual Studio.NET.zip .exe WinAmp 6.exe Windows crack.zip ..exe Windows Longhorn Beta.exe WINDOWS SOURCE CODE.zip ..exe WinRAR.exe
Действие
I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.
Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:
127.0.0.1 www.norton.com 127.0.0.1 norton.com 127.0.0.1 yahoo.com 127.0.0.1 www.yahoo.com 127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 windowsupdate.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 www.google.com 127.0.0.1 google.com
После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com.
Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.
Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!