На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.Win32.Zhelatin.h


Rootkit:  Да
Видимые проявления:  Появление драйвера wincom32.sys и перехват функций
Появление постороннего SMTP трафика
Отключение встроенного Firewall

Почтовый червяк, исполняемый файл имеет размер 50629 байта, сжат UPX.
1. Удаляет ключ автозапуска «Agent» из ключа реестра Windows\CurrentVersion\Run
2. Переключает режим запуска службы SharedAccess на 4 (отключен), что приводит к блокировке встроенного Firewall
3. Создает файл iro6L3h.exe (размером 35 кб, UPX) и запускает его. Имя данного исполняемого файла генерируется при каждом запуске случайным образом.
4. Сканирует файлы на диске для поиска адресов.
5. После сканирования и построения базы адресов начинает рассылку своих копий по почте с использование встроенной реализации SMTP клиента.

В теле червя содержится ряд заготовок для построения письма (в частности, база заголовков вида «The Time for Love», «When You Fall in Love», «Your Love Has Opened», «Bubble Bath Coupon» … таких заготовок около сотни), база имен и шаблон письма, состоящего из текстовой части в кодировке iso-8859-1 и вложения. Несмотря на наличие текстовой части письма в рассылаемых письмах она пустая, т.е. приходящее письмо содержит только заголовок и вложение в виде EXE файла, который является копией червя в чистом виде. Типовые имена вложенных файлов - flash postcard.exe, greeting card.exe, postcard.exe, greeting postcard.exe.

Приложение iro6L3h.exe является компонентом червя для инсталляции kernel-mode кода. Он создает на диске WINDOWS\system32\wincom32.sys и регистрирует его под именем «wincom32» в реестре. Функционирование данной компоненты проявляется в виде активного обмена по портам 11271 и 7871 TCP. Драйвер маскируется по руткит-технологии, перехватывая функции:

Функция NtEnumerateKey (47) перехвачена (8056F76A->F5F8D8A6), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F5F8DA32), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F5F8D546), перехватчик C:\WINDOWS\system32\wincom32.sys
>>>> Подозрение на RootKit wincom32 C:\WINDOWS\system32\wincom32.sys
Перехват данных функций позволяет ему замаскировать ключ в реестре и файл на диске. По принципу работы данный драйвер является усовершенствованной разновидностью Trojan-Downloader.Win32.Small.dam

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.