24.03.2004 Эпидемия I-Worm.Snapper
Многосоставной почтовый червь. Состоит из 3-х частей:
- Запускающий скрипт (Runner)
- Скрипт-носитель исполняемого файла (Dropper)
- Исполняемый файл, выполняющий основные функции
Запускающий скрипт представляет собой HTML код, который, используя уязвимость Internet Explorer MS03-040 открывает с сайта http://198.170.245.129 HTML-страницу, содержащую Скрипт-носитель исполняемого файла.
Скрипт-носитель исполняемого файла после запуска сохраняет в системную папку WINDOWS непосредственно исполняемый файл с именем Ieload.dll и активизирует его.
Исполняемый модуль после запуска выгружает из памяти процессы:
- NAVAPW32.EXE
- CCAPP.EXE
- OUTPOST.EXE
- SPIDERML.EXE
Далее червь извлекает адреса электронной почты из почтовой базы Outlook и по каждому адресу отправляет письмо, содержащее Запускающий скрипт.
Модули обнаружения и лечения данного червя добавлены в базы Украинского Национального Антивируса.
|