Net-Worm.Win32.Nanspy.d

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX.

Net-Worm.Win32.Nanspy.d («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Kassbot (Symantec), Trojan.DownLoader.3636 (Doctor Web), W32/Nanpy-C (Sophos), WORM_NANPY.A (Trend Micro), Exploit.DCOM.Gen (ClamAV), Trj/Downloader.DAN (Panda) <P>

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX. Размер распакованного файла около 103 KБ.

Вирус распространяется, используя уязвимость Microsoft Windows DCOM RPС (MS03-026). Подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "mmsvc32.exe":

%System%\mmsvc32.exe 

и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Network Services Controller" = "%System%\mmsvc32.exe"

т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости DCOM RPС, запускает на удаленной машине свой код.

Действие

Червь отслеживает все открытые окна Internet Explorer и в том случае, если в окне браузера просматривается определенный интернет сайт, попадающий в следующий список:

lloydstsb.co.uk
online.lloydstsb.co.uk
www.lloydstsb.co.uk
www.lloydstsb.com
personal.barclays.co.uk
barclays.co.uk
ibank.barclays.co.uk
www.barclays.co.uk
www.nwolb.com
nwolb.com
hsbc.co.uk
www.hsbc.co.uk
abbey.com
www.abbey.com
www.abbey.co.uk
abbey.co.uk
cahoot.com
www.cahoot.com
www.cahoot.co.uk
cahoot.co.uk
www.co-operativebank.co.uk
co-operativebank.co.uk
www.co-operativebank.com
co-operativebank.com
welcome2.co-operativebankonline.co.uk
welcome6.co-operativebankonline.co.uk
welcome8.co-operativebankonline.co.uk
welcome10.co-operativebankonline.co.uk
www.smile.co.uk
smile.co.uk
www.cajamar.es
cajamar.es
www.cajamar.com
cajamar.com
www.unicaja.es 
unicaja.es
www.unicaja.com
unicaja.com
www.caixagalicia.es
caixagalicia.es
www.caixagalicia.com
caixagalicia.com
activa.caixagalicia.es
www.caixapenedes.es
caixapenedes.es
www.caixapenedes.com
caixapenedes.com
bancae.caixapenedes.com
www.caixasabadell.es
caixasabadell.es
www.caixasabadell.net
caixasabadell.net
www.cajamadrid.es
cajamadrid.es
www.cajamadrid.com
cajamadrid.com
oi.cajamadrid.es
www.ccm.es
ccm.es

Червь собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры) и сохраняет ее в создаваемый файл в системном каталоге Windows.

Также червь имеет функцию загрузки своих обновлений с удаленного сервера в Интернете.