Новый вирус - I-Worm.BadtransII

≡ Архив | архивная статья | 26.11.2001 20:15

Вирус распространяется через e-mail. Для проникновения в компьютер, он, как и его предшественники - вирусы Nimda и Aliz, использует дыры в почтовых клиентах. Особенно могут пострадать владельцы почтового клиента MS Outlook, т.к. вложенный файл, автоматически, без ведома пользователя самозапускается.

Вирус устанавливается в систему в регистре "Пуск". Инсталлируется подобно трояну PSW.Hooker.

Имя инсталлированного файла трояна, целевая директория и ключ регистра опциональны. Они хранятся в зашифрованном виде в файле трояна, записанными в конце него. Злоумышленник может изменять их прежде, чем отправить на компьютер-жертву или перед тем, как поместить их на веб-странице.

Данный червь (он был найден "в диком виде"):

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnceKernel32 = kernel32.exe

проникает в файл kdll.dll (перехватчик клавиатуры) и пересылает украденную информацию на адрес uckyjw@hotmail.com

MAPI - получает почту,

SMTP - отправляет почту,

в сообщении содержится та же самая брешь IFRAME,

перехватывает загрузчик ключа и, похоже, само сообщение также является бэкдором.

Сообщение выглядит следующим образом:

От: адрес реального отправителя или ложный, случайно выбираемый из списка:

"Anna"

"JUDY"

"Rita Tulliani"

"Tina"

"Kelly Andersen"

"Andy"

"Linda"

"Mon S"

"Joanna"

"JESSICA BENAVIDES"

"Administrator"

"Admin"

"Support"

"Monika Prado"

"Mary L. Adams"

"Anna"

"JUDY"

"Tina"

Тема: пусто или "Re:"

Тело письма: пусто

Вложенный файл: случайно выбранное имя файла +ext1+ext2

Имя файла:

ext1: .DOC .ZIP .MP3

ext2: .scr, .pif

"Pics" или "PICS"

"images" или "IMAGES"

"README"

"New_Napster_Site"

"news_doc" или "NEWS_DOC"

"HAMSTER"

"YOU_are_FAT!" или "YOU_ARE_FAT!"

"stuff"

"SETUP"

"Card" or "CARD"

"Me_nude" or "ME_NUDE"

"Sorry_about_yesterday"

"info"

"docs" или "DOCS"

"Humor" или "HUMOR"

"fun" или "FUN"

"SEARCHURL"

"S3MSONG"

Например, "info.DOC.scr"

Возможно, существуют разные варианты, нами был получер экземпляр с именем RESUME.DOC.scr

Если Ваш компьютер уже заражен этим вирусом, то Вы можете загрузить с нашего сайта программу, которая удаляет файлы-носителеи вируса. Загрузить программу можно здесь

комментарии(4)

разделы: Архив