I-Worm.Skybag.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером 205КБ.

Инсталляция

Во время запуска червь может выводить сообщение:

Windows encountered an error reading the file

После запуска червь копирует себя в системный каталог Windows с именами:

bloodred.exe
  Windows_kernel32.exe

Также в системном каталоге Windows червь создает следующие файлы:

base64exe.sys
  base64zip.sys
  frun.txt

В каталоге Windows червь создает файл "bloodred.zip".

I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   "Microsoft Kernel"="%System%\Windows_kernel32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
  asp
  dbx
  doc
  htm
  html
  jsp
  rtf
  txt
  xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
  @fsecure
  @hotmail
  @microsoft
  @mm
  @msn
  @noreply
  @norman
  @norton
  @panda
  @sopho
  @symantec
  @virusli

Характеристики зараженных писем

Адрес отправителя:

Выбирается из списка:

administration@<домен получателя> 
  management@<домен получателя> 
  server@<домен получателя> 
  service@<домен получателя> 
  userhelp@<домен получателя>

Тема письма:

Выбирается из списка:

Detailed Information
  Email Account Information
  Server Error
  URGENT PLEASE READ!
  Urgent Update!
  User Info
  User Information

Текст письма:

Выбирается из вариантов:

Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.

Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details

Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment

We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.

Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment

There is urgent information in the attachment regarding your Email account

Имя файла-вложения:

Выбирается из списка:

Account_Information
  Details
  Gift
  Information
  Update
  Word_Document

Возможные расширения: cmd, pif, scr, zip.

Размножение через локальную и файлообменные сети

Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:

ACDSEE10.exe
  Adobe Photoshop Full Version.exe
  Battlefield 1942.exe
  Brianna banks and jenna jameson.mpeg ..exe
  Britney spears naked.jpeg .exe
  Cisco source code.zip ..exe
  DVD Xcopy xpress.exe
  jenna jameson screensaver.scr
  Kazaa Lite.zip ..exe
  NETSKY SOURCE CODE.zip ..exe
  Norton AntiVirus 2004.exe
  Opera Registered version.exe
  Snood new version.exe
  Teen Porn.mpeg ..exe
  Visual Studio.NET.zip .exe
  WinAmp 6.exe
  Windows crack.zip ..exe
  Windows Longhorn Beta.exe
  WINDOWS SOURCE CODE.zip ..exe
  WinRAR.exe

Действие

I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.

Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:

127.0.0.1 www.norton.com
  127.0.0.1 norton.com
  127.0.0.1 yahoo.com
  127.0.0.1 www.yahoo.com
  127.0.0.1 microsoft.com
  127.0.0.1 www.microsoft.com
  127.0.0.1 windowsupdate.com
  127.0.0.1 www.windowsupdate.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 www.nai.com
  127.0.0.1 nai.com
  127.0.0.1 www.ca.com
  127.0.0.1 ca.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.google.com
  127.0.0.1 google.com

После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com.

Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.

Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.