На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Worm

Worm.Win32.Banwor.a


Rootkit:  Да

Червь состоит из четырех файлов:
SYSHOST.exe - 195584, сжат UPX
scan.exe - 43008 байт, сжат UPX
hwin32.DLL - 22528 байт, сжат UPX
hwin16.DLL - 22528 байт, сжат UPX
все эти файлы находятся в папке System32, запускаются из ключа Run реестра.
библиотеки hwin32.DLL и hwin16.DLL на момент обнаружения антивирусы не детектировали, но без них червь не работоспособен, так как эти библиотеки применяются им для маскировки процесса.
В ходе работы червь пытается предавать почтовые сообщения, соединяясь напряму с сервером согласно прошитым в его теле параметрам. Тест письма тоже любопытен: "infected..TheBAT: ..Outlook: ..Clipboard: ..IP: *.*.*.*.......". Т.е. данный червь выполняет функции, присущие категории Trojan-SPY.
Далее червь начинает сканировать сеть, формируя адреса по алгоритму X.X.X.*, на месте звездочки - перебор чисел от 1 до 254). С каждым из хостов червяк пробует соединиться по порту 135, что характерно для червей, заражающих уязвимый ПК посредством эксплоита.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.