 |
 |
 |
|
|
|
Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Worm
Worm.Win32.Banwor.aЧервь состоит из четырех файлов:
SYSHOST.exe - 195584, сжат UPX scan.exe - 43008 байт, сжат UPX hwin32.DLL - 22528 байт, сжат UPX hwin16.DLL - 22528 байт, сжат UPX все эти файлы находятся в папке System32, запускаются из ключа Run реестра. библиотеки hwin32.DLL и hwin16.DLL на момент обнаружения антивирусы не детектировали, но без них червь не работоспособен, так как эти библиотеки применяются им для маскировки процесса. В ходе работы червь пытается предавать почтовые сообщения, соединяясь напряму с сервером согласно прошитым в его теле параметрам. Тест письма тоже любопытен: "infected..TheBAT: ..Outlook: ..Clipboard: ..IP: *.*.*.*.......". Т.е. данный червь выполняет функции, присущие категории Trojan-SPY. Далее червь начинает сканировать сеть, формируя адреса по алгоритму X.X.X.*, на месте звездочки - перебор чисел от 1 до 254). С каждым из хостов червяк пробует соединиться по порту 135, что характерно для червей, заражающих уязвимый ПК посредством эксплоита.
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| (С) Зайцев О.В.
2003-2022 |
При использовании любых материалов данного сайта необходимо указывать источник информации. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
