Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл, размером 205КБ.
Во время запуска червь может выводить сообщение:
Windows encountered an error reading the file
После запуска червь копирует себя в системный каталог Windows с именами:
bloodred.exe Windows_kernel32.exe
Также в системном каталоге Windows червь создает следующие файлы:
base64exe.sys base64zip.sys frun.txt
В каталоге Windows червь создает файл "bloodred.zip".
I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe"
Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:
adb asp dbx doc htm html jsp rtf txt xml
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
@avp @fsecure @hotmail @microsoft @mm @msn @noreply @norman @norton @panda @sopho @symantec @virusli
Выбирается из списка:
administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя>
Выбирается из списка:
Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information
Выбирается из вариантов:
Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details
Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment
We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.
Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment
There is urgent information in the attachment regarding your Email account
Выбирается из списка:
Account_Information Details Gift Information Update Word_Document
Возможные расширения: cmd, pif, scr, zip.
Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:
ACDSEE10.exe Adobe Photoshop Full Version.exe Battlefield 1942.exe Brianna banks and jenna jameson.mpeg ..exe Britney spears naked.jpeg .exe Cisco source code.zip ..exe DVD Xcopy xpress.exe jenna jameson screensaver.scr Kazaa Lite.zip ..exe NETSKY SOURCE CODE.zip ..exe Norton AntiVirus 2004.exe Opera Registered version.exe Snood new version.exe Teen Porn.mpeg ..exe Visual Studio.NET.zip .exe WinAmp 6.exe Windows crack.zip ..exe Windows Longhorn Beta.exe WINDOWS SOURCE CODE.zip ..exe WinRAR.exe
I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.
Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:
127.0.0.1 www.norton.com 127.0.0.1 norton.com 127.0.0.1 yahoo.com 127.0.0.1 www.yahoo.com 127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 windowsupdate.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 www.google.com 127.0.0.1 google.com
После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com.
Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.
Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках