Украинский Национальный Антивирус
Украинский Национальный Антивирус Украинский Национальный Антивирус Украинский Национальный Антивирус
Украинский Национальный Антивирус новости
украинский антивирусный центр
украинский антивирусный центр украинский антивирусный центр Новые продукты(5)

События(17)

Уязвимости ПО(10)

Новые вирусы(92)

Новости центра(79)

Новости сайта(5)

Все (208)


Пресс-центр

Antivirus UNA - check viruses online

 Экспорт новостей







     Подписка
      на новости УАЦ

10.01.2003 Эпидемия сетевого червя I-Worm.Avron

Червь является WinEXE программой, написанной на языке C++ и упакованной утилитой сжатия UPX. При запуске червь создаёт свою копию в папке WINDOWS или в корне диска C: (в зависимости от модификации), устанавливая на файл атрибут hidden. Кроме того, для рассылки по электронной почте он создаёт файлы во временной папке WINDOWS. Там же (во временном каталоге) червём создаётся текстовый файл со следующим содержимым:

  1. I-Worm.Avron.a:
    
    Author ------> 2002 (c) Otto von Gutenberg
    Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
    Purpose -----> Only Educational
    Virus name --> AVRIL (please do not change it) 
    [ATTENTION]
    The author has no response of the damages
    caused by AVRIL. 
    
    [DESCRIPTION]
    For my lovely Avril Lavigne dedicated.
    She lives in Canada and she's beautiful.
    This is for AV companies:
    Why? Why? Why don't you update your KB (knowledge bases)
    on my serial and yet serious masterpieces?!
    I guess that of AVRIL will get you thought of it.
    NO DESTRUCTIVE ACTION! 
    
    [ACKNOWLEDGEMENT]
    Antoher V0X & Hacker Group from Central Asia
    Thanx to Rage, Razum and V-HiV; coderz.net, 
    indovirus.net, securitylab.ru etc. 
    
    Thank you for ideas approach to us!!!
    Bye 
    
  2. I-Worm.Avron.b:
    
    2002 (c) Otto von Gutenberg
    Made in .::]|KaZAkHstaN|[::.
    As stated before, purpose is only educational, however... 
    I'm back to the scene with one more gift |Avril-II| 
    (remember 'A' version of Avril-II)
    HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
    Avril-II is commonly dangerous because of its over-trojaned issues
    ~Greetz to Brigada Ocho (http://vx.netlux.org/~b8), 
    Darkside Project(http://darkside.dtn.ru)
    and Weisses Fleisch Project (http://wf.h1.ru)
    ~Greetz to Rocco (http://primatelost.net)
    Many thankx to my muse Avril Lavigne whose beauty 
    causes work to flow rapidly
    New features included: ICQ/IrC/ShaReD (urgently 
    persuade to check it instantly)
    BackOrifice-server dropper included 
    
    P.S.> How is my work? 
    
    Cheerz, Otto (www.otto-koden.h1.ru) 
    
  3. I-Worm.Avron.c:
    
    2002 (c) Otto von Gutenberg
    Made in .::]|KaZAkHstaN|[::.
    As stated before, purpose is only educational, however...
    
    I'm back to the scene with one more gift |Avril-II| 
    (remember 'A' version of Avril-II)
    HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
    Avril-II is commonly dangerous because of its 
    over-trojaned issues
    Greetz to Brigada Ocho (http://vx.netlux.org/~b8), 
    Darkside 
    Project (http://darkside.dtn.ru) and Weisses 
    Fleisch Project (http://wf.h1.ru)
    Many thankx to my muse Avril Lavigne whose beauty 
    causes work to flow rapidly
    New features included: ICQ/IrC/ShaReD (urgently 
    persuade to check it instantly)
    BackOrifice-server dropper will be included next 
    time 
    
    Cheerz, Otto (www.otto-koden.h1.ru) 
    

Для автоматического запуска при загрузке системы червь создаёт соответствующую запись в области автозагрузки системного реестра WINDOWS:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Размножение по e-mail.

Червь выполняет поиск e-mail адресов в файлах со следующими расширениями:

  • IDX
  • NCH
  • SHTML
  • TBB
  • HTM
  • WAB
  • MBX
  • DBX
По обнаруженным адресам рассылаются письма с копией червя и HTML файлом, автоматически запускающим присоединённый файл при помощи уязвимости IFRAME.

Размножение в локальных сетях.

Червь ищет в сети все открытые для полного доступа локальные диски и создаёт на них свою копию в папке \RECYCLED\. Далее червь добавляет в файл AUTOEXEC.BAT следующую запись:


@win \RECYCLED\<эээээээээ
ээээм образом, на системах Win9x червь будет автоматически загружен при следующей загрузке операционной системы.

Размножение через ICQ.

Червь считывает из реестра путь к установленной программе ICQ, по этому пути ищет библиотеку ICQMAPI.DLL, копирует её в папку WINDOWS\SYSTEM и далее, используя ICQ API, рассылает свою копию по всем номерам из адресной книги.

Размножение через MIRC.

Червь создаёт файл SCRIPT.INI в папке mIRC, благодаря которому пользователь при подключении к IRC автоматически заходит на канал "#avrillavigne". Далее скрипт автоматически рассылает копию червя всем пользователям, зашедшим на этот же канал.

Инфицирование HTML-файлов.

Червь ищет на всех дисках файлы INDEX.HTM, INDEX.HTML, DEFAULT.HTM, DEFAULT.HTML и в каждый из них добавляет скрипт, запускающий копию червя. Таким образом, зараженные WEB-сервера и копии Web-страниц запускают тело червя.

Установка модулей удалённого управления.

Червь скачивает с различных трёх сайтов Backdoor-программу и сохраняет её под именем Bo2K.exe в системной папке WINDOWS. В реестре он создаёт запись, автоматически запускающую тело установленной Backdoor-программы при каждой загрузке операционной системы.

Троянская процедура.

Червь отправляет по электронной почте на ящик [email protected] закэшированные пароли к dial-up соединению.

Другие проявления.

После запуска червь может завершить работу процесса EXPLORER.EXE, что приводит к пропаданию "Панели задач" и системного трея. В системах Win95, 98, ME червь также выгружает из памяти следующие процессы:

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPMON.EXE
  • AVPNT.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFIND.EXE
  • CLAW95.EXE
  • CLAW95CT.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DV95.EXE
  • DV95_O.EXE
  • DVP95.EXE
  • ECENGINE.EXE
  • EFINET32.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FRW.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMOON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JED.EXE
  • KPF.EXE
  • KPFW32.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCAN.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVSCHED.EXE
  • NAVW.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSCAN40.EXE
  • VSSTAT.EXE
  • WEBSCAN.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE
В системах WinNT, 2000, XP червь выгружает процессы, имеющие в заголовке окна текст:
  • Norton
  • AVP
  • Anti
  • Virus
  • McAfee
  • anti
  • virus


Всем пользователям рекомендуется обновить базы антивирусных продуктов. Модули лечения данного червя модификаций .a .b .c доступны зарегистрированным пользователям.


главная - украинский антивирусный центр
© 1999-2003. Украинский Антивирусный Центр.
Украинский Национальный Антивирус ®
Правила использования материалов сайта
Una-Center

Украiнська

English