W32.Buchon.A@mm - это червь массовой рассылки, использующий свой собственный SMTP сервер, чтобы рассылать себя по email адресам, которые он найдет на зараженном компьютере.
Так же известен как W32/Baba-A [Sophos], W32/Buchon.gen@MM [McAfee], W32/Buchon@mm [F-Secure], Win32.Netsky.AG [Computer Associates], WORM_NETSKY.AI [Trend Micro].
При запуске W32.Buchon.A@mm выполняет следующие действия:
1. Открывает файл c:\csrss.exe, который является трояном, и выполняет его.
При запуске Троян выполняет следующие действия:
a. добавляет значение:
"Key Logger" = c:\csrss.exe"в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
b. Открывает не злонамеренный файл c:\csrss.bin
c. Выступает в качестве прокси сервера и может выполнять команды атакующего на загрузку файлов из интернета.
2. Ищет email адреса в файлах с расширениями
# .dat # .dbx # .eml # .mbx # .mdb # .tbb # .wab
3. Крадет email адреса из файлов, имя которых содержит "inbox".
4. Посылает SYN пакеты по случайным IP адресам на случайные TCP порты в интервале между 28000 и 28500.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках