Net-Worm.Win32.Ezio.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Net-Worm.Win32.Ezio.a («Лаборатория Касперского») также известен как: W32/Ezio.gen@MM (McAfee), W32.Ezio.A@mm (Symantec), W32/Ezio-A (Sophos), Worm:Win32/Enzio.A (RAV), WORM_EZIO.A (Trend Micro), Worm/Ezio.A (H+BEDV), Worm/Ezio.A (Grisoft), Win32.Worm.Ezio.A (SOFTWIN), W32/Krynos.B.worm (Panda), Win32/Ezio.A (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows. Написан на языке Visual C++ и имеет размер около 140 КБ.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

Can`t open MFC78Eng.dll 

При инсталляции червь копирует себя с именем svchost.exe в следующий каталог:

%Windir%\Help\svchost.exe

Также червь создает следующие файлы:


%Windir%\Help\document.zip
%Windir%\Help\Hi.gif 
%Windir%\Help\svchost.dat 
%Windir%\Help\svchost.enc 

Затем червь регистрирует себя в ключе автозагрузки системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "Windows Service Host Process"="%Windir%\
Help\svchost.exe" 

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями htm и txt и рассылает себя по всем найденным в них адресам электронной почты.

Игнорируется отправка писем на адреса, содержащие строки:


.edu
.gov
.mil
@angelfire.com
@cisco.com
@cpan.org
@eff.org
@ethereal.com
@geocities.
@gnu.org
@hotmail
@iana
@lists.
@lucent.com
@msn.com
@perl.org
@python.org
@relay
@sun.com
@tcpdump.org
@yahoo
abuse
admin@
advertising@
announce
anyone
anywhere
aol.com
arin.
avp
blockme
bsd.org
bugs@
cert.org
certs@
contact@
customer@
drsolomon
example
excite.com
feedback@

	

f-prot
google
grisoft.com
help@
ibm.com
info@
kaspersky
linux
lycos.com
master
mcafee
microsoft
mozilla
msdn
netscape
news
nobody
noreply
panda
pgp
rating@
ripe-
ripe.
root@
sales@
secur
sendmail
service@
sophos
sourceforge
spam
submit
subscribe
support
symantec
unix
user@
virus
whatever@
whoever@
yourname

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Mail Error

Текст письма:

Please see the attached document for details.

Имя файла-вложения:

document.zip

Размножение через файлообменные сети

Червь копирует себя в следующие каталоги систем файлообмена:


C:\My Downloads
C:\Program Files\BearShare\Shared
C:\Program Files\direct connect\received files
C:\Program Files\eDonkey2000\incoming
C:\Program Files\eMule\Incoming
C:\Program Files\gnucleus\downloads
C:\Program Files\gnucleus\downloads\incoming
C:\Program Files\grokster\my grokster
C:\Program Files\grokster\my shared folder
C:\Program Files\icq\shared files
C:\Program Files\KaZaa Lite\My Shared Folder
C:\Program Files\KaZaa\My Shared Folder
C:\Program Files\KMD\my shared folder
C:\Program Files\limeWire\shared
C:\Program Files\Morpheus\my shared folder
C:\Program Files\StreamCast\Morpheus\my shared folder
C:\programmi\BearShare\Shared
C:\programmi\direct connect\received files
C:\programmi\eDonkey2000\incoming
C:\programmi\eMule\Incoming
C:\programmi\gnucleus\downloads
C:\programmi\gnucleus\downloads\incoming
C:\programmi\grokster\my grokster
C:\programmi\grokster\my shared folder
C:\programmi\icq\shared files
C:\programmi\KaZaa Lite\My Shared Folder
C:\programmi\KaZaa\My Shared Folder
C:\programmi\KMD\my shared folder
C:\programmi\limeWire\shared
C:\programmi\Morpheus\my shared folder
C:\Programmi\StreamCast\Morpheus\my shared folder

После чего другие пользователи этих систем файлообмена могут свободно скачать и запустить на своем компьютере копию червя.

Действие

Ezio.a блокирует работу некоторых приложений путем удаления следующих ключей системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\32-bit Thunking service]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\9xHtProtect]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\ICQ Net]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\JavaVM]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\lsass]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\MyAV]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Norton Antivirus AV]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\RPCserv32]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\service]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Services]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Special Firewall Service]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\SysMonX]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\SysMonXP]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Tiny AV]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Wxp4]

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:


127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.ru
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafeehelp.com
127.0.0.1 www.sophos.ch
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru