Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — примерно 14КБ, размер в распакованном виде — примерно 62КБ.
После запуска червь копирует себя с именем «SERVICES.exe» в корневой каталог Windows и каталог автозагрузки:
После этого червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Norton Auto-Protect"="SERVICES.exe"
Изменяет ключ системного реестра таким образом, чтобы при открытии текстовых файлов червь получал управление:
[HKCR\txtfile\shell\open\command] "[default]"="SERVICES.exe %1"
Создает следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="dword:00000001" "DisableRegistryTools"="dword:00000001" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"="dword:00000001" "DisallowRun"="1" [HKCU\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer\DisallowRun] "1"="regedit.exe" "2"="notepad.exe" "3"="wordpad.exe" "4"="write.exe" "5"="wuauclt.exe" "6"="wupdmgr.exe" "7"="%Program Files%\MSN Messenger\msnmsgr.exe" [HKLM\Software\Microsoft\windows NT\CurrentVersion\systemrestore] [HKCU\Software\Microsoft\windows NT\CurrentVersion\systemrestore] "DisableSR"="dword:00000001" [HKLM\Software\Microsoft\security center] [HKCU\Software\Microsoft\security center] "FirewallDisableNotify"="dword:00000001" "UpdatesDisableNotify"="dword:00000001" "AntiVirusDisableNotify"="dword:00000001" [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU] [HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"="dword:00000001" [HKCR\RDP.File] "Friendlytypename"="@SERVICES.exe, -4004" [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionrunservices-] "Windows Service"="SERVICES.exe" [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionwindowsupdate\auto update] [default]="SERVICES.exe" [HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName] "ComputerName"="Agent Hacker" [HKLM\software\Microsoft\Internet Explorer\Registration] [HKLM\software\Microsoft\windowsnt\CurrentVersion] [HKLM\system\wpa\Key-MGM9K8XQ2GHRBGTP2TR93] "ProductId"="Agent Hacker"
Также Anker.a создает следующий файл:
C:\Norton Antivirus.txt
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Service Pack 2 BUG!!
Fix_SP2.zip
Червь скачивает файл-вложение «Fix_SP2.zip» с веб-сайта http://geocities.com.
Червь изменяет файл %System%\drivers\etc\hosts и дописывает в него соответствующий текст, тем самым закрывая доступ к следующим ресурсам:
Anker.a выгружает из системы различные процессы, содержащие в именах следующие строки:
Источник: Viruslist
Первое — находим постоянно, второе — ждем вас