На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.Win32.Warezov


Rootkit:  Да
Видимые проявления:  Маскирующийся процесс (serv.exe, t2serv.exe ...)
Троянские библиотеки e1.dll, wupstlnt.dll, serv.dll,regaufat.dll в памяти процессов
Сообщение эвристического анализатора AVZ о скрытом запуске при помощи AppInit_DLLs
Синонимы:  Win32.HLLM.Limar (DRWEB)
Worm.Stration.ET (ClamAV)

Типовое имя файла-вложения - Update-KB9687-x86.exe (имя напоминает именование обновлений для Windows, цифры меняются). Текст сообщения и заголовок письма варьируется, например:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

или

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

В случае запуска вложенного в письмо исполняемого файла он скрытно выполняет следующие операции:
1. пытается бороться с ПО для защиты компьютера, в частности пытается открыть службы Symantec Core LC, OutpostFirewall, WinRoute
2. Создает файл WINDOWS\t2serv.exe и запускает его с параметром «s»
3. Выводит на экран диалоговое окно с текстом «Update successfully installed»

Процесс t2serv.exe в свою очередь тоже пытается открыть службы типа OutpostFirewall, и скрытно выполняет ряд операций:
1. Регистрируется в автозапуске, ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\t2serv, причем автозапуск вируса идет с ключем: «s»
2. Создает файлы WINDOWS\t2serv.dat, WINDOWS\t2serv.dll, WINDOWS\system32\icaacsrs.dll, WINDOWS\system32\cdoskbdu.dll, WINDOWS\system32\rsmpmsim.exe, WINDOWS\system32\e1.dll
3. Регистрирует e1.dll и icaacsrs.dll в автозапуске через AppInit_DLLs
4. Пытается загружать исполняемые файлы из Интернет, в частности с сайта http://www6.vertionkdaseliplim.com
5. Производит поиск email адресов на пораженном компьютере. Найденные адреса сохраняются в базе данных, которая размещается в файле WINDOWS\t2serv.wax
Распространяется по электронной почте, используя собственную реализацию SMTP клиента.

 В протоколах AVZ данный червь заметен по ряду признаков:
  1. Процесс червя t2serv.exe маскируется от обнаружения, чем и выдает себя при сканировании AVZ:
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1096 t2serv.exe

 2. Антикейлоггер детектирует внедрение троянских библиотек:
C:\WINDOWS\system32\icaacsrs.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\icaacsrs.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\e1.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\e1.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\t2serv.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\t2serv.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\t2serv.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\cdoskbdu.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\cdoskbdu.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\system32\cdoskbdu.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши

3. В ходе эвристической проверки системы выводится подозрение на скрытую загрузку библиотек (в частности e1.dll) при помощи AppInit_DLLs
 
 Следует отметить, что на настоящий вариант известно более сотни разновидностей данного червя, поэтому имена файлов и некоторые особенности поведения могут изменяться от разновидности к разновидности.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.