I-Worm.Skybag.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером 205КБ.

Инсталляция

Во время запуска червь может выводить сообщение:

Windows encountered an error reading the file

После запуска червь копирует себя в системный каталог Windows с именами:

bloodred.exe
 Windows_kernel32.exe

Также в системном каталоге Windows червь создает следующие файлы:

base64exe.sys
 base64zip.sys
 frun.txt

В каталоге Windows червь создает файл "bloodred.zip".

I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Kernel"="%System%\Windows_kernel32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
 asp
 dbx
 doc
 htm
 html
 jsp
 rtf
 txt
 xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
 @fsecure
 @hotmail
 @microsoft
 @mm
 @msn
 @noreply
 @norman
 @norton
 @panda
 @sopho
 @symantec
 @virusli

Характеристики зараженных писем

Адрес отправителя:

Выбирается из списка:

administration@<домен получателя> 
 management@<домен получателя> 
 server@<домен получателя> 
 service@<домен получателя> 
 userhelp@<домен получателя>

Тема письма:

Выбирается из списка:

Detailed Information
 Email Account Information
 Server Error
 URGENT PLEASE READ!
 Urgent Update!
 User Info
 User Information

Текст письма:

Выбирается из вариантов:

Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.

Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details

Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment

We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.

Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment

There is urgent information in the attachment regarding your Email account

Имя файла-вложения:

Выбирается из списка:

Account_Information
 Details
 Gift
 Information
 Update
 Word_Document

Возможные расширения: cmd, pif, scr, zip.

Размножение через локальную и файлообменные сети

Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:

ACDSEE10.exe
 Adobe Photoshop Full Version.exe
 Battlefield 1942.exe
 Brianna banks and jenna jameson.mpeg ..exe
 Britney spears naked.jpeg .exe
 Cisco source code.zip ..exe
 DVD Xcopy xpress.exe
 jenna jameson screensaver.scr
 Kazaa Lite.zip ..exe
 NETSKY SOURCE CODE.zip ..exe
 Norton AntiVirus 2004.exe
 Opera Registered version.exe
 Snood new version.exe
 Teen Porn.mpeg ..exe
 Visual Studio.NET.zip .exe
 WinAmp 6.exe
 Windows crack.zip ..exe
 Windows Longhorn Beta.exe
 WINDOWS SOURCE CODE.zip ..exe
 WinRAR.exe

Действие

I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.

Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:

127.0.0.1 www.norton.com
 127.0.0.1 norton.com
 127.0.0.1 yahoo.com
 127.0.0.1 www.yahoo.com
 127.0.0.1 microsoft.com
 127.0.0.1 www.microsoft.com
 127.0.0.1 windowsupdate.com
 127.0.0.1 www.windowsupdate.com
 127.0.0.1 www.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 www.nai.com
 127.0.0.1 nai.com
 127.0.0.1 www.ca.com
 127.0.0.1 ca.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 www.sophos.com
 127.0.0.1 www.google.com
 127.0.0.1 google.com

После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com.

Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.

Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.