Net-Worm.Win32.Ezio.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Net-Worm.Win32.Ezio.a («Лаборатория Касперского») также известен как: W32/Ezio.gen@MM (McAfee), W32.Ezio.A@mm (Symantec), W32/Ezio-A (Sophos), Worm:Win32/Enzio.A (RAV), WORM_EZIO.A (Trend Micro), Worm/Ezio.A (H+BEDV), Worm/Ezio.A (Grisoft), Win32.Worm.Ezio.A (SOFTWIN), W32/Krynos.B.worm (Panda), Win32/Ezio.A (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows. Написан на языке Visual C++ и имеет размер около 140 КБ.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

 Can`t open MFC78Eng.dll 

При инсталляции червь копирует себя с именем svchost.exe в следующий каталог:

%Windir%\Help\svchost.exe

Также червь создает следующие файлы:

 
 %Windir%\Help\document.zip
 %Windir%\Help\Hi.gif 
 %Windir%\Help\svchost.dat 
 %Windir%\Help\svchost.enc 

Затем червь регистрирует себя в ключе автозагрузки системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "Windows Service Host Process"="%Windir%\
 Help\svchost.exe" 

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями htm и txt и рассылает себя по всем найденным в них адресам электронной почты.

Игнорируется отправка писем на адреса, содержащие строки:

 
 .edu
 .gov
 .mil
 @angelfire.com
 @cisco.com
 @cpan.org
 @eff.org
 @ethereal.com
 @geocities.
 @gnu.org
 @hotmail
 @iana
 @lists.
 @lucent.com
 @msn.com
 @perl.org
 @python.org
 @relay
 @sun.com
 @tcpdump.org
 @yahoo
 abuse
 admin@
 advertising@
 announce
 anyone
 anywhere
 aol.com
 arin.
 avp
 blockme
 bsd.org
 bugs@
 cert.org
 certs@
 contact@
 customer@
 drsolomon
 example
 excite.com
 feedback@
 
 	
 
 f-prot
 google
 grisoft.com
 help@
 ibm.com
 info@
 kaspersky
 linux
 lycos.com
 master
 mcafee
 microsoft
 mozilla
 msdn
 netscape
 news
 nobody
 noreply
 panda
 pgp
 rating@
 ripe-
 ripe.
 root@
 sales@
 secur
 sendmail
 service@
 sophos
 sourceforge
 spam
 submit
 subscribe
 support
 symantec
 unix
 user@
 virus
 whatever@
 whoever@
 yourname
 

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Mail Error

Текст письма:

Please see the attached document for details.

Имя файла-вложения:

document.zip

Размножение через файлообменные сети

Червь копирует себя в следующие каталоги систем файлообмена:

 
 C:\My Downloads
 C:\Program Files\BearShare\Shared
 C:\Program Files\direct connect\received files
 C:\Program Files\eDonkey2000\incoming
 C:\Program Files\eMule\Incoming
 C:\Program Files\gnucleus\downloads
 C:\Program Files\gnucleus\downloads\incoming
 C:\Program Files\grokster\my grokster
 C:\Program Files\grokster\my shared folder
 C:\Program Files\icq\shared files
 C:\Program Files\KaZaa Lite\My Shared Folder
 C:\Program Files\KaZaa\My Shared Folder
 C:\Program Files\KMD\my shared folder
 C:\Program Files\limeWire\shared
 C:\Program Files\Morpheus\my shared folder
 C:\Program Files\StreamCast\Morpheus\my shared folder
 C:\programmi\BearShare\Shared
 C:\programmi\direct connect\received files
 C:\programmi\eDonkey2000\incoming
 C:\programmi\eMule\Incoming
 C:\programmi\gnucleus\downloads
 C:\programmi\gnucleus\downloads\incoming
 C:\programmi\grokster\my grokster
 C:\programmi\grokster\my shared folder
 C:\programmi\icq\shared files
 C:\programmi\KaZaa Lite\My Shared Folder
 C:\programmi\KaZaa\My Shared Folder
 C:\programmi\KMD\my shared folder
 C:\programmi\limeWire\shared
 C:\programmi\Morpheus\my shared folder
 C:\Programmi\StreamCast\Morpheus\my shared folder

После чего другие пользователи этих систем файлообмена могут свободно скачать и запустить на своем компьютере копию червя.

Действие

Ezio.a блокирует работу некоторых приложений путем удаления следующих ключей системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\32-bit Thunking service]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\9xHtProtect]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\ICQ Net]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\JavaVM]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\lsass]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\MyAV]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Norton Antivirus AV]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\RPCserv32]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\service]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Services]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Special Firewall Service]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\SysMonX]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\SysMonXP]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Tiny AV]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Wxp4]
 

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 f-secure.com
 127.0.0.1 ftp.f-secure.com
 127.0.0.1 ftp.sophos.com
 127.0.0.1 kaspersky.com
 127.0.0.1 kaspersky.ru
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 service1.symantec.com
 127.0.0.1 sophos.ch
 127.0.0.1 sophos.com
 127.0.0.1 symantec.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 viruslist.ru
 127.0.0.1 www.avp.ch
 127.0.0.1 www.avp.com
 127.0.0.1 www.avp.ru
 127.0.0.1 www.f-secure.com
 127.0.0.1 www.kaspersky.com
 127.0.0.1 www.kaspersky.ru
 127.0.0.1 www.mcafee.com
 127.0.0.1 www.mcafeehelp.com
 127.0.0.1 www.sophos.ch
 127.0.0.1 www.sophos.com
 127.0.0.1 www.symantec.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.viruslist.ru