Email-Worm.Win32. Zhelatin.u

12.02.2007

Почтовый червь. Является приложением Windows (PE EXE-файл).

Почтовый червь. Является приложением Windows (PE EXE-файл). Размер компонентов варьируется в пределах от 6 до 54 кбайт. Упакован при помощи UPX.

Инсталляция

При инсталляции червь создает файлы в системном каталоге Windows:

 
    * %System%\adirss.exe – имеет размер 6038 байт.
    * %System%\taskdir.exe – имеет размер 54166 байт.
    * %System%\zlbw.dll – имеет размер 46592 байта.
    * %System%\adir.dll – имеет размер 4608 байт, определяется 
    Антивирусом Касперского как Email-Worm.Win32.Banwarum.f.

Для автоматической загрузки при каждой последующей загрузке Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sysinter="%System%\adirss.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
taskdir="%System%\taskdir.exe"

Создает ключ реестра, который загружает библиотеку %System%\adir.dll при каждом следующем старте Windows:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adir]

Червь добавляет в системный брандмауэр правило, разрешающее исполняемому файлу червя любую активность. Для этого выполняется команда:

  netsh firewall set allowedprogram %System%\adirss.exe enable

Также создается служба с именем "Windows update Service", которая загружает исполняемый файл червя — %System%\taskdir.exe.

Деструктивная активность

Процесс adirss.exe запускает SMTP прокси-сервер на 25-ом TCP-порте и дает возможность злоумышленникам использовать зараженный компьютер как часть зомби-сети для рассылки спама.

После этого червь регистрируется на сайте злоумышленников и сообщает сетевой адрес компьютера.

Далее червь скачивает файл настроек зомби-сети с хакерского сайта и сохраняет его как %System%\log.txt. Данные из этого файла используются с целью получения параметров для отправки спама.

Компонент %System%\adir.dll является Rootkit-библиотекой, которая скрывает файлы червя на винчестере, запущенные процессы червя в системе, а так же ключи реестра, в которых хранятся настройки червя.

Вредоносная программа скачивает файл по ссылке http://***/cp/bin/lim и сохраняет его как %System%\taskdir~.exe, после чего запускает на исполнение.

В момент создания описания данная ссылка не работала.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Email-Worm.Win32. Zhelatin.u

Большой брат следит за вами, но мы знаем, как остановить его

Новости по теме

Южная Корея отказывается от iPhone: армия страны запрещает смартфоны

Тинькофф привлекает пранкеров: Фрод-рулетка станет новым оружием против мошенников

Миллиарды под колпаком: разработчики клавиатур шпионят за пользователями Android по всему миру

Progress Flowmon: критическая брешь открывает хакерам двери в 1500+ компаний

Отмыто $2 млрд: США закрыли преступную сеть криптомиксера Samourai

Без пива и телевизора: в Скандинавии наступил сухой закон после кибератаки

OpenCRISPR – первый в мире ИИ-редактор генов

Открытые модели в массы: Apple представила OpenELM

Google Meet расширяет границы: теперь общаться можно и без аккаунта Google

Email-Worm.Win32. Zhelatin.u

Большой брат следит за вами, но мы знаем, как остановить его

Новости по теме

Южная Корея отказывается от iPhone: армия страны запрещает смартфоны

Тинькофф привлекает пранкеров: Фрод-рулетка станет новым оружием против мошенников

Миллиарды под колпаком: разработчики клавиатур шпионят за пользователями Android по всему миру

Progress Flowmon: критическая брешь открывает хакерам двери в 1500+ компаний

Отмыто $2 млрд: США закрыли преступную сеть криптомиксера Samourai

Без пива и телевизора: в Скандинавии наступил сухой закон после кибератаки

OpenCRISPR – первый в мире ИИ-редактор генов

Открытые модели в массы: Apple представила OpenELM

Google Meet расширяет границы: теперь общаться можно и без аккаунта Google

Подпишитесь на email рассылку