Email-Worm.Win32. Scano.b

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ, упакован Upack. Размер распакованного файла около 85 KБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь открывает следующую страницу в окне Internet Explorer:

http://www.nah**.com/

При инсталляции червь копирует себя с именем csrss.exe в корневой каталог Windows:

%Windir%\csrss.exe

После чего создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
 "Debugger"="%Windir%\csrss.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices]  "explorer.exe"="explorer.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
cfg
cgi
dbx
dhtm
dhtml
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

0
2003
2004
2005
2006
@avp.
@example.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
@subscribe
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
qmail
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Имя файла-вложения:

Во вложение зараженных писем червь помещает исполняемый CPL-файл.

Имя файла выбирается произвольным образом из списка:

  • cool
  • me
  • new
  • Re
  • you

Вложения могут иметь двойное расширение. Одно из расширений выбирается произвольным образом из списка:

  • avi
  • cab
  • doc
  • mpg
  • txt

Удаленное администрирование

Червь открывает и затем отслеживает произвольный TCP порт для приема команд от злоумышленника.

Действия

Червь соединяется со следующими удаленными серверами для загрузки других файлов без ведома пользователя:

  • http://207.**.250.119
  • http://84.**.161.192
  • http://85.249.**.35