06.06.2003 Эпидемия почтового червя I-Worm.Tanatos.b
Новая модификация червя I-Worm.Tanatos.b была обнаружена в диком виде 5-го июня 2003 года. Червь не сильно отличается от своего предшественника по функциональным возможностям. Фактически он представляет собой шифрованный и слегка модифицированный вариант предыдущей версии: I-Worm.Tanatos.
Червь распространяется по электронной почте в виде прикреплённых к письмам файлов. Письмо также содержит HTML-страницу, содержащую скрипт, автоматически активизирующий тело червя при просмотре письма через уязвимость IFRAME. При запуске червь делает свою копию в папку автозапуска программ и в папку Windows. Далее он ищет адреса электронной почты, перебирая файлы, подходящие под маски: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.
Данная модификация червя имеет алгоритм инфицирования некоторых файлов, список которых содержится в теле червя:
- %WinDir%\scandskw.exe
- %WinDir%\regedit.exe
- %WinDir%\mplayer.exe
- %WinDir%\hh.exe
- %WinDir%\notepad.exe
- %WinDir%\winhelp.exe
- %ProgramFiles%\Internet Explorer\iexplore.exe
- %ProgramFiles%\adobe\acrobat 5.0\reader\acrord32.exe
- %ProgramFiles%\WinRAR\WinRAR.exe
- %ProgramFiles%\Windows Media Player\mplayer2.exe
- %ProgramFiles%\Real\RealPlayer\realplay.exe
- %ProgramFiles%\Outlook Express\msimn.exe
- %ProgramFiles%\Far\Far.exe
- %ProgramFiles%\CuteFTP\cutftp32.exe
- %ProgramFiles%\Adobe\Acrobat %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
- %ProgramFiles%\ACDSee32\ACDSee32.exe
- %ProgramFiles%\MSN Messenger\msnmsgr.exe
- %ProgramFiles%\WS_FTP\WS_FTP95.exe
- %ProgramFiles%\QuickTime\QuickTimePlayer.exe
- %ProgramFiles%\StreamCast\Morpheus\Morpheus.exe
- %ProgramFiles%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
- %ProgramFiles%\Trillian\Trillian.exe
- %ProgramFiles%\Lavasoft\Ad-aware 6\Ad-aware.exe
- %ProgramFiles%\AIM95\aim.exe
- %ProgramFiles%\Winamp\winamp.exe
- %ProgramFiles%\DAP\DAP.exe
- %ProgramFiles%\ICQ\Icq.exe
- %ProgramFiles%\kazaa\kazaa.exe
- %ProgramFiles%\winzip\winzip32.exe
Кроме того, червь устанавливает в систему KeyLogger и запускает Backdoor-функцию.
Backdoor-функция открывает на зараженном компьютере порт 1080 и ждёт команд. Благодаря этому злоумышленник может выполнить на поражённом компьютере ряд функций:
- показывать информацию о файлах и дисках;
- копировать, переименовывать, удалять, запускать файлы;
- получать список запущенных приложений и закрывать любое из них;
- загружать файлы из сети и отправлять файлы в сеть.
Кроме того, червь ищет в памяти и выгружает процессы, содержащие в своём имени следующие строки:
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ANTI-TROJAN.EXE
- APVXDWIN.EXE
- AUTODOWN.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCTRL.EXE
- AVKSERV.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVWIN95.EXE
- AVWUPD32.EXE
- BLACKD.EXE
- BLACKICE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLAW95.EXE
- CLAW95CF.EXE
- CLEANER.EXE
- CLEANER3.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- ESAFE.EXE
- ESPWATCH.EXE
- F-AGNT95.EXE
- F-PROT.EXE
- F-PROT95.EXE
- F-STOPW.EXE
- FINDVIRU.EXE
- FP-WIN.EXE
- FPROT.EXE
- FRW.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFACE.EXE
- IOMON98.EXE
- JEDI.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LUALL.EXE
- MOOLIVE.EXE
- MPFTRAY.EXE
- N32SCANW.EXE
- NAVAPW32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NISUM.EXE
- NMAIN.EXE
- NORMIST.EXE
- NUPGRADE.EXE
- NVC95.EXE
- OUTPOST.EXE
- PADMIN.EXE
- PAVCL.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCCWIN98.EXE
- PCFWALLICON.EXE
- PERSFW.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RESCUE.EXE
- SAFEWEB.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SERV95.EXE
- SMC.EXE
- SPHINX.EXE
- SWEEP95.EXE
- TBSCAN.EXE
- TCA.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VET95.EXE
- VETTRAY.EXE
- VSCAN40.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSTAT.EXE
- WEBSCANX.EXE
- WFINDV32.EXE
- ZONEALARM.EXE
При отправке инфицированных писем червь иногда совершает ошибку, из-за чего конечному пользователю приходит повреждённое тело червя, которое не может нанести вреда.
Процедуры обнаружения данного червя добавлены в базы "Украинского Национального Антивируса".
|