Email-Worm.Win32.Anker.a
Email-Worm.Win32.Anker.a
Alexander Antipov
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — примерно 14КБ, размер в распакованном виде — примерно 62КБ.
Инсталляция
После запуска червь копирует себя с именем «SERVICES.exe» в корневой каталог Windows и каталог автозагрузки:
- %User Profile%\Start Menu\Programs\Startup\SERVICES.exe
- %Windir%\SERVICES.exe
После этого червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Norton Auto-Protect"="SERVICES.exe"
Изменяет ключ системного реестра таким образом, чтобы при открытии текстовых файлов червь получал управление:
[HKCR\txtfile\shell\open\command] "[default]"="SERVICES.exe %1"
Создает следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="dword:00000001" "DisableRegistryTools"="dword:00000001" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"="dword:00000001" "DisallowRun"="1" [HKCU\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer\DisallowRun] "1"="regedit.exe" "2"="notepad.exe" "3"="wordpad.exe" "4"="write.exe" "5"="wuauclt.exe" "6"="wupdmgr.exe" "7"="%Program Files%\MSN Messenger\msnmsgr.exe" [HKLM\Software\Microsoft\windows NT\CurrentVersion\systemrestore] [HKCU\Software\Microsoft\windows NT\CurrentVersion\systemrestore] "DisableSR"="dword:00000001" [HKLM\Software\Microsoft\security center] [HKCU\Software\Microsoft\security center] "FirewallDisableNotify"="dword:00000001" "UpdatesDisableNotify"="dword:00000001" "AntiVirusDisableNotify"="dword:00000001" [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU] [HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"="dword:00000001" [HKCR\RDP.File] "Friendlytypename"="@SERVICES.exe, -4004" [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionrunservices-] "Windows Service"="SERVICES.exe" [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionwindowsupdate\auto update] [default]="SERVICES.exe" [HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName] "ComputerName"="Agent Hacker" [HKLM\software\Microsoft\Internet Explorer\Registration] [HKLM\software\Microsoft\windowsnt\CurrentVersion] [HKLM\system\wpa\Key-MGM9K8XQ2GHRBGTP2TR93] "ProductId"="Agent Hacker"
Также Anker.a создает следующий файл:
C:\Norton Antivirus.txt
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем
Тема письма:
Service Pack 2 BUG!!
Текст письма:
Dear user I have been informed that there was a BUG in Windows Service Pack
2 which was fixed I recommend you to download this Patch version which will
fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Regards,
A.H
You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Regards,
A.H
Имя файла-вложения:
Fix_SP2.zip
Червь скачивает файл-вложение «Fix_SP2.zip» с веб-сайта http://geocities.com.
Действие
Червь изменяет файл %System%\drivers\etc\hosts и дописывает в него соответствующий текст, тем самым закрывая доступ к следующим ресурсам:
- 127.0.0.1 www.astalavista.com
- 127.0.0.1 www.cnn.com
- 127.0.0.1 www.coderheaven.com
- 127.0.0.1 www.fbi.gov
- 127.0.0.1 www.gamerevolution.com
- 127.0.0.1 www.geocities.com
- 127.0.0.1 www.google.com
- 127.0.0.1 www.hackers.com
- 127.0.0.1 www.hotmail.com
- 127.0.0.1 www.idm.com
- 127.0.0.1 www.messenger.msn.com
- 127.0.0.1 www.microsoft.com
- 127.0.0.1 www.msn.com
- 127.0.0.1 www.norton.com
- 127.0.0.1 www.rohitab.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 www.worldsex.com
- 127.0.0.1 www.wwe.com
- 127.0.0.1 www.yahoo.com
Anker.a выгружает из системы различные процессы, содержащие в именах следующие строки:
- _Avpcc.exe
- _avpm.exe
- _findviru.exe
- Ackwin32.exe
- AGENTSVR.exe
- Alogserv.exe
- Amon.exe
- Anti-trojan.exe
- ANTIVIRUS.exe
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- Apvxdwin.exe
- ATCON.EXE
- Atguard.exe
- ATRO55EN.EXE
- ATUPDATER
- ATUPDATER.exe
- ATWATCH.EXE
- Au.exe
- AUPDATE.exe
- AUTODOWN.exe
- AUTOTRACE.exe
- AUTOUPDATE.exe
- AVCONSOL.EXE
- Ave32.exe
- AVGSERV9.EXE
- Avkserv.exe
- AVLTMAIN.exe
- Avnt.exe
- Avpcc.exe
- Avpm.exe
- AVprotect9x.exe
- AVPUPD.exe
- avserve2.exe
- AVSYNMGR.EXE
- Avwin95.exe
- AVWUPD32.exe
- AVXQUAR.exe
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BlackIce.exe
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- ccApp.exe
- CDP.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.exe
- CFINET.EXE
- CFINET32.EXE
- Claw95cf.exe
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- Cmgrdian.exe
- CMGRDIAN.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- D3dupdate.exe
- DEFWATCH.EXE
- DEPUTY.EXE
- dfw.exe
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.exe
- DRWEBUPW.EXE
- Ecengine.exe
- ENT.EXE
- Esafe.exe
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- Findviru.exe
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- Fprot.exe
- F-prot95.exe
- Fp-win.exe
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- fsav32.exe
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- fsbwsys.exe
- fsgk32.exe
- fsm32.exe
- fssm32.exe
- fvprotect.exe
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- Guarddog.exe
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- Iamapp.exe
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.exe
- ICSSUPPNT.EXE
- ICSUPP95.exe
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- Iomon98.exe
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- Lookout.exe
- LSETUP.EXE
- LUALL.exe
- LUCOMSERVER.EXE
- LUINIT.EXE
- mcagent.exe
- MCAGENT.EXE
- MCUPDATE.exe
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- msblast.exe
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPSvc.exe
- Navapsvc.exe
- Navapw32.exe
- navdx.exe
- NAVDX.EXE
- navstub.exe
- NAVSTUB.EXE
- Navt.exe
- Navw32.exe
- Navwnt.exe
- Navwt.exe
- nc2000.exe
- NC2000.EXE
- NCINST4.EXE
- ndd32.exe
- NDD32.EXE
- NEOMONITOR.EXE
- netarmor.exe
- NETARMOR.EXE
- netinfo.exe
- NETINFO.EXE
- netmon.exe
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- nmain.exe
- NMAIN.EXE
- Nod32.exe
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- nprotect.exe
- NSCHED32.EXE
- Nsplugin.exe
- ntvdm.exe
- NTVDM.EXE
- NUPGRADE.exe
- NUPGRADE.exe
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- Ogrc.exe
- ostronet.exe
- OSTRONET.EXE
- Outpost.exe
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- pccguide.exe
- pcciomon.exe
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- Rav7.exe
- RAV8WIN32ENG.EXE
- regedit.exe
- regedit32.exe
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- Rulaunch.exe
- RULAUNCH.EXE
- SAFEWEB.EXE
- SAVScan.exe
- SBSERV.EXE
- Scan32.exe
- SD.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- Smss.exe
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- Spider.exe
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- taskmgr.exe
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TDS-3.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- tnbutil.exe
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.exe
- UPDATE.EXE
- VBCMSERV.EXE
- vbcons.exe
- VBCONS.EXE
- vbsntw.exe
- vbust.exe
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- Vet95.exe
- Vettray.exe
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXEVNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- Vsmain.exe
- vsmain.exe
- VSMAIN.EXE
- vsmon.exe
- VSMON.EXE
- vsstat.exe
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- winlogon.exe
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- Zonalarm.exe
- ZONALM2601.EXE
- ZONEALARM.EXE
Источник: Viruslist
Квантовый кот Шрёдингера ищет хозяина!
Живой, мертвый или в суперпозиции? Узнайте в нашем канале