Net-Worm.Win32.Nanspy.d

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX.

Net-Worm.Win32.Nanspy.d ( «Лаборатория Касперского») также известен как: W32/Generic.Delphi.b ( McAfee), W32.Kassbot ( Symantec), Trojan.DownLoader.3636 ( Doctor Web), W32/Nanpy-C ( Sophos), WORM_NANPY.A ( Trend Micro), Exploit.DCOM.Gen ( ClamAV), Trj/Downloader.DAN ( Panda) <P>

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX. Размер распакованного файла около 103 KБ.

Вирус распространяется, используя уязвимость Microsoft Windows DCOM RPС (MS03-026). Подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "mmsvc32.exe":

%System%\mmsvc32.exe 

и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Microsoft Network Services Controller" = "%System%\mmsvc32.exe"

т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости DCOM RPС, запускает на удаленной машине свой код.

Действие

Червь отслеживает все открытые окна Internet Explorer и в том случае, если в окне браузера просматривается определенный интернет сайт, попадающий в следующий список:

lloydstsb.co.uk
 online.lloydstsb.co.uk
 www.lloydstsb.co.uk
 www.lloydstsb.com
 personal.barclays.co.uk
 barclays.co.uk
 ibank.barclays.co.uk
 www.barclays.co.uk
 www.nwolb.com
 nwolb.com
 hsbc.co.uk
 www.hsbc.co.uk
 abbey.com
 www.abbey.com
 www.abbey.co.uk
 abbey.co.uk
 cahoot.com
 www.cahoot.com
 www.cahoot.co.uk
 cahoot.co.uk
 www.co-operativebank.co.uk
 co-operativebank.co.uk
 www.co-operativebank.com
 co-operativebank.com
 welcome2.co-operativebankonline.co.uk
 welcome6.co-operativebankonline.co.uk
 welcome8.co-operativebankonline.co.uk
 welcome10.co-operativebankonline.co.uk
 www.smile.co.uk
 smile.co.uk
 www.cajamar.es
 cajamar.es
 www.cajamar.com
 cajamar.com
 www.unicaja.es 
 unicaja.es
 www.unicaja.com
 unicaja.com
 www.caixagalicia.es
 caixagalicia.es
 www.caixagalicia.com
 caixagalicia.com
 activa.caixagalicia.es
 www.caixapenedes.es
 caixapenedes.es
 www.caixapenedes.com
 caixapenedes.com
 bancae.caixapenedes.com
 www.caixasabadell.es
 caixasabadell.es
 www.caixasabadell.net
 caixasabadell.net
 www.cajamadrid.es
 cajamadrid.es
 www.cajamadrid.com
 cajamadrid.com
 oi.cajamadrid.es
 www.ccm.es
 ccm.es

Червь собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры) и сохраняет ее в создаваемый файл в системном каталоге Windows.

Также червь имеет функцию загрузки своих обновлений с удаленного сервера в Интернете.