Security Lab

W32.Buchon.A@mm

W32.Buchon.A@mm

W32.Buchon.A@mm - это червь массовой рассылки, использующий свой собственный SMTP сервер, чтобы рассылать себя по email адресам, которые он найдет на зараженном компьютере.

W32.Buchon.A@mm - это червь массовой рассылки, использующий свой собственный SMTP сервер, чтобы рассылать себя по email адресам, которые он найдет на зараженном компьютере.

Так же известен как W32/Baba-A [Sophos], W32/Buchon.gen@MM [McAfee], W32/Buchon@mm [F-Secure], Win32.Netsky.AG [Computer Associates], WORM_NETSKY.AI [Trend Micro].

При запуске W32.Buchon.A@mm выполняет следующие действия:

1. Открывает файл c:\csrss.exe, который является трояном, и выполняет его.

При запуске Троян выполняет следующие действия:

a. добавляет значение:

  "Key Logger" = c:\csrss.exe"
в ключ реестра:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

b. Открывает не злонамеренный файл c:\csrss.bin

c. Выступает в качестве прокси сервера и может выполнять команды атакующего на загрузку файлов из интернета.

2. Ищет email адреса в файлах с расширениями

  # .dat
  # .dbx
  # .eml
  # .mbx
  # .mdb
  # .tbb
  # .wab 

3. Крадет email адреса из файлов, имя которых содержит "inbox".

4. Посылает SYN пакеты по случайным IP адресам на случайные TCP порты в интервале между 28000 и 28500.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!