10.01.2003 Эпидемия сетевого червя I-Worm.Avron
Червь является WinEXE программой, написанной на языке C++ и упакованной утилитой сжатия UPX. При запуске червь создаёт свою копию в папке WINDOWS или в корне диска C: (в зависимости от модификации), устанавливая на файл атрибут hidden. Кроме того, для рассылки по электронной почте он создаёт файлы во временной папке WINDOWS. Там же (во временном каталоге) червём создаётся текстовый файл со следующим содержимым:
-
I-Worm.Avron.a:
Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
Purpose -----> Only Educational
Virus name --> AVRIL (please do not change it)
[ATTENTION]
The author has no response of the damages
caused by AVRIL.
[DESCRIPTION]
For my lovely Avril Lavigne dedicated.
She lives in Canada and she's beautiful.
This is for AV companies:
Why? Why? Why don't you update your KB (knowledge bases)
on my serial and yet serious masterpieces?!
I guess that of AVRIL will get you thought of it.
NO DESTRUCTIVE ACTION!
[ACKNOWLEDGEMENT]
Antoher V0X & Hacker Group from Central Asia
Thanx to Rage, Razum and V-HiV; coderz.net,
indovirus.net, securitylab.ru etc.
Thank you for ideas approach to us!!!
Bye
-
I-Worm.Avron.b:
2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::.
As stated before, purpose is only educational, however...
I'm back to the scene with one more gift |Avril-II|
(remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its over-trojaned issues
~Greetz to Brigada Ocho (http://vx.netlux.org/~b8),
Darkside Project(http://darkside.dtn.ru)
and Weisses Fleisch Project (http://wf.h1.ru)
~Greetz to Rocco (http://primatelost.net)
Many thankx to my muse Avril Lavigne whose beauty
causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently
persuade to check it instantly)
BackOrifice-server dropper included
P.S.> How is my work?
Cheerz, Otto (www.otto-koden.h1.ru)
-
I-Worm.Avron.c:
2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::.
As stated before, purpose is only educational, however...
I'm back to the scene with one more gift |Avril-II|
(remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its
over-trojaned issues
Greetz to Brigada Ocho (http://vx.netlux.org/~b8),
Darkside
Project (http://darkside.dtn.ru) and Weisses
Fleisch Project (http://wf.h1.ru)
Many thankx to my muse Avril Lavigne whose beauty
causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently
persuade to check it instantly)
BackOrifice-server dropper will be included next
time
Cheerz, Otto (www.otto-koden.h1.ru)
Для автоматического запуска при загрузке системы червь создаёт соответствующую запись в области автозагрузки системного реестра WINDOWS:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Размножение по e-mail.
Червь выполняет поиск e-mail адресов в файлах со следующими расширениями:
- IDX
- NCH
- SHTML
- TBB
- HTM
- WAB
- MBX
- DBX
По обнаруженным адресам рассылаются письма с копией червя и HTML файлом, автоматически запускающим присоединённый файл при помощи уязвимости IFRAME.
Размножение в локальных сетях.
Червь ищет в сети все открытые для полного доступа локальные диски и создаёт на них свою копию в папке \RECYCLED\. Далее червь добавляет в файл AUTOEXEC.BAT следующую запись:
@win \RECYCLED\<эээээээээ ээээм образом, на системах Win9x червь будет автоматически загружен при следующей загрузке операционной системы.
Размножение через ICQ.
Червь считывает из реестра путь к установленной программе ICQ, по этому пути ищет библиотеку ICQMAPI.DLL, копирует её в папку WINDOWS\SYSTEM и далее, используя ICQ API, рассылает свою копию по всем номерам из адресной книги.
Размножение через MIRC.
Червь создаёт файл SCRIPT.INI в папке mIRC, благодаря которому пользователь при подключении к IRC автоматически заходит на канал "#avrillavigne". Далее скрипт автоматически рассылает копию червя всем пользователям, зашедшим на этот же канал.
Инфицирование HTML-файлов.
Червь ищет на всех дисках файлы INDEX.HTM, INDEX.HTML, DEFAULT.HTM, DEFAULT.HTML и в каждый из них добавляет скрипт, запускающий копию червя. Таким образом, зараженные WEB-сервера и копии Web-страниц запускают тело червя.
Установка модулей удалённого управления.
Червь скачивает с различных трёх сайтов Backdoor-программу и сохраняет её под именем Bo2K.exe в системной папке WINDOWS. В реестре он создаёт запись, автоматически запускающую тело установленной Backdoor-программы при каждой загрузке операционной системы.
Троянская процедура.
Червь отправляет по электронной почте на ящик [email protected] закэшированные пароли к dial-up соединению.
Другие проявления.
После запуска червь может завершить работу процесса EXPLORER.EXE, что приводит к пропаданию "Панели задач" и системного трея. В системах Win95, 98, ME червь также выгружает из памяти следующие процессы:
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ANTI-TROJAN.EXE
- APVXDWIN.EXE
- AUTODOWN.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCTRL.EXE
- AVKSERV.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPMON.EXE
- AVPNT.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVWIN95.EXE
- AVWUPD32.EXE
- BLACKD.EXE
- BLACKICE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFIND.EXE
- CLAW95.EXE
- CLAW95CT.EXE
- CLEANER.EXE
- CLEANER3.EXE
- DV95.EXE
- DV95_O.EXE
- DVP95.EXE
- ECENGINE.EXE
- EFINET32.EXE
- ESAFE.EXE
- ESPWATCH.EXE
- F-AGNT95.EXE
- FINDVIRU.EXE
- FPROT.EXE
- F-PROT.EXE
- F-PROT95.EXE
- FP-WIN.EXE
- FRW.EXE
- F-STOPW.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMOON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- IFACE.EXE
- IOMON98.EXE
- JED.EXE
- KPF.EXE
- KPFW32.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LUALL.EXE
- MOOLIVE.EXE
- MPFTRAY.EXE
- N32SCAN.EXE
- NAVAPW32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVSCHED.EXE
- NAVW.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NISUM.EXE
- NMAIN.EXE
- NORMIST.EXE
- NUPGRADE.EXE
- NVC95.EXE
- OUTPOST.EXE
- PADMIN.EXE
- PAVCL.EXE
- PCCWIN98.EXE
- PCFWALLICON.EXE
- PERSFW.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RESCUE.EXE
- SAFEWEB.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SERV95.EXE
- SMC.EXE
- SPHINX.EXE
- SWEEP95.EXE
- TBSCAN.EXE
- TCA.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VET95.EXE
- VETTRAY.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSCAN40.EXE
- VSSTAT.EXE
- WEBSCAN.EXE
- WEBSCANX.EXE
- WFINDV32.EXE
- ZONEALARM.EXE
В системах WinNT, 2000, XP червь выгружает процессы, имеющие в заголовке окна текст:
- Norton
- AVP
- Anti
- Virus
- McAfee
- anti
- virus
Всем пользователям рекомендуется обновить базы антивирусных продуктов. Модули лечения данного червя модификаций .a .b .c доступны зарегистрированным пользователям.
|