Украинский Национальный Антивирус
Украинский Национальный Антивирус Украинский Национальный Антивирус Украинский Национальный Антивирус
Украинский Национальный Антивирус новости
--новости--продукты--поддержка--скачать--купить--сертификация--una-center--партнеры--контакты--
украинский антивирусный центр
украинский антивирусный центр украинский антивирусный центр Новые продукты(5)

События(17)

Уязвимости ПО(10)

Новые вирусы(92)

Новости центра(80)

Новости сайта(5)

Все (209)


Пресс-центр

Antivirus UNA - check viruses online

 Экспорт новостей







     Подписка
      на новости УАЦ

06.06.2003 Эпидемия почтового червя I-Worm.Tanatos.b

    Новая модификация червя I-Worm.Tanatos.b была обнаружена в диком виде 5-го июня 2003 года. Червь не сильно отличается от своего предшественника по функциональным возможностям. Фактически он представляет собой шифрованный и слегка модифицированный вариант предыдущей версии: I-Worm.Tanatos.

Червь распространяется по электронной почте в виде прикреплённых к письмам файлов. Письмо также содержит HTML-страницу, содержащую скрипт, автоматически активизирующий тело червя при просмотре письма через уязвимость IFRAME. При запуске червь делает свою копию в папку автозапуска программ и в папку Windows. Далее он ищет адреса электронной почты, перебирая файлы, подходящие под маски: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

    Данная модификация червя имеет алгоритм инфицирования некоторых файлов, список которых содержится в теле червя:

  • %WinDir%\scandskw.exe
  • %WinDir%\regedit.exe
  • %WinDir%\mplayer.exe
  • %WinDir%\hh.exe
  • %WinDir%\notepad.exe
  • %WinDir%\winhelp.exe
  • %ProgramFiles%\Internet Explorer\iexplore.exe
  • %ProgramFiles%\adobe\acrobat 5.0\reader\acrord32.exe
  • %ProgramFiles%\WinRAR\WinRAR.exe
  • %ProgramFiles%\Windows Media Player\mplayer2.exe
  • %ProgramFiles%\Real\RealPlayer\realplay.exe
  • %ProgramFiles%\Outlook Express\msimn.exe
  • %ProgramFiles%\Far\Far.exe
  • %ProgramFiles%\CuteFTP\cutftp32.exe
  • %ProgramFiles%\Adobe\Acrobat %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
  • %ProgramFiles%\ACDSee32\ACDSee32.exe
  • %ProgramFiles%\MSN Messenger\msnmsgr.exe
  • %ProgramFiles%\WS_FTP\WS_FTP95.exe
  • %ProgramFiles%\QuickTime\QuickTimePlayer.exe
  • %ProgramFiles%\StreamCast\Morpheus\Morpheus.exe
  • %ProgramFiles%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
  • %ProgramFiles%\Trillian\Trillian.exe
  • %ProgramFiles%\Lavasoft\Ad-aware 6\Ad-aware.exe
  • %ProgramFiles%\AIM95\aim.exe
  • %ProgramFiles%\Winamp\winamp.exe
  • %ProgramFiles%\DAP\DAP.exe
  • %ProgramFiles%\ICQ\Icq.exe
  • %ProgramFiles%\kazaa\kazaa.exe
  • %ProgramFiles%\winzip\winzip32.exe

Кроме того, червь устанавливает в систему KeyLogger и запускает Backdoor-функцию.

    Backdoor-функция открывает на зараженном компьютере порт 1080 и ждёт команд. Благодаря этому злоумышленник может выполнить на поражённом компьютере ряд функций:

  • показывать информацию о файлах и дисках;
  • копировать, переименовывать, удалять, запускать файлы;
  • получать список запущенных приложений и закрывать любое из них;
  • загружать файлы из сети и отправлять файлы в сеть.

    Кроме того, червь ищет в памяти и выгружает процессы, содержащие в своём имени следующие строки:

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • F-STOPW.EXE
  • FINDVIRU.EXE
  • FP-WIN.EXE
  • FPROT.EXE
  • FRW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSTAT.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE

    При отправке инфицированных писем червь иногда совершает ошибку, из-за чего конечному пользователю приходит повреждённое тело червя, которое не может нанести вреда.

    Процедуры обнаружения данного червя добавлены в базы "Украинского Национального Антивируса".

    
--новости--продукты--поддержка--скачать--купить--сертификация--una-center--партнеры--контакты--
главная - украинский антивирусный центр
© 1999-2003. Украинский Антивирусный Центр.
Украинский Национальный Антивирус ®
Правила использования материалов сайта
Una-Center

Украiнська

English