Новый червь I-Worm.Sober.g

Вебпланета

≡ Архив | архивная статья | 07.06.2004 14:58

Сетевой червь I-Worm.Sober.g распространяется по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам, сообщает VirusList.

Вирус написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — примерно 47 Кб и может незначительно изменяться, из-за того что червь дописывает в конец файла произвольные данные.

Червь активизируется, только если пользователь самостоятельно откроет файл, вложенный в электронное письмо. После запуска червь выводит на экран ложное сообщение об ошибке:

‘File not found
Special-UnZip Data-Module
is missing
Open with Notepad?
Yes No’

При нажатии на «Yes», червь открывает Notepad, в котором отображает различный мусорный текст (аналогично червю Mydoom).

I-Worm.Sober.g создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из списка: 32, crypt, data, diag, dir, disc, expolrer, host, log, run, service, smss32, spool, sys, win.

Червь регистрирует себя в ключе автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
«[случайное имя ключа]»="%System%\[имя червя]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
«[случайное имя ключа]»="%System%\[имя червя]"

Также он создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

bcegfds.lll,
cvqaikxt.apk,
datsobex.wwr,
NoSpam.readme,
wincheck32.dats,
winexpoder.dats,
winzweier.dats,
xdatxzap.zxp,
zhcarxxi.vvx.

Червь ищет на диске файлы, могущие содержать адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые произвольным образом составляются из нескольких частей.

Имя вложения также может варьироваться с разными расширениями «pif» или «zip».

Червь может загружать на зараженный компьютер и запускать любые файлы со следующих удаленных сайтов:

free.pages.at,
home.arcor.de,
home.pages.at,
people.freenet.de,
scifi.pages.at.

комментарии(0)

разделы: Архив