06.10.2006
Email-Worm.Win32.Warezov
Типовое имя файла-вложения - Update-KB9687-x86.exe (имя напоминает именование обновлений для Windows, цифры меняются). Текст сообщения и заголовок письма варьируется, например:
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
или
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
В случае запуска вложенного в письмо исполняемого файла он скрытно выполняет следующие операции:
1. пытается бороться с ПО для защиты компьютера, в частности пытается открыть службы Symantec Core LC, OutpostFirewall, WinRoute
2. Создает файл WINDOWS\t2serv.exe и запускает его с параметром «s»
3. Выводит на экран диалоговое окно с текстом «Update successfully installed»
Процесс t2serv.exe в свою очередь тоже пытается открыть службы типа OutpostFirewall, и скрытно выполняет ряд операций:
1. Регистрируется в автозапуске, ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\t2serv, причем автозапуск вируса идет с ключем: «s»
2. Создает файлы WINDOWS\t2serv.dat, WINDOWS\t2serv.dll, WINDOWS\system32\icaacsrs.dll, WINDOWS\system32\cdoskbdu.dll, WINDOWS\system32\rsmpmsim.exe, WINDOWS\system32\e1.dll
3. Регистрирует e1.dll и icaacsrs.dll в автозапуске через AppInit_DLLs
4. Пытается загружать исполняемые файлы из Интернет, в частности с сайта http://www6.vertionkdaseliplim.com
5. Производит поиск email адресов на пораженном компьютере. Найденные адреса сохраняются в базе данных, которая размещается в файле WINDOWS\t2serv.wax
Распространяется по электронной почте, используя собственную реализацию SMTP клиента.
В протоколах AVZ данный червь заметен по ряду признаков:
1. Процесс червя t2serv.exe маскируется от обнаружения, чем и выдает себя при сканировании AVZ:
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1096 t2serv.exe
2. Антикейлоггер детектирует внедрение троянских библиотек:
C:\WINDOWS\system32\icaacsrs.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\icaacsrs.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\e1.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\e1.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\t2serv.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\t2serv.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\t2serv.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\cdoskbdu.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\cdoskbdu.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\WINDOWS\system32\cdoskbdu.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
3. В ходе эвристической проверки системы выводится подозрение на скрытую загрузку библиотек (в частности e1.dll) при помощи AppInit_DLLs
Следует отметить, что на настоящий вариант известно более сотни разновидностей данного червя, поэтому имена файлов и некоторые особенности поведения могут изменяться от разновидности к разновидности.
