Security Lab

Email-Worm.Win32.Anker.a

Email-Worm.Win32.Anker.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — примерно 14КБ, размер в распакованном виде — примерно 62КБ.

Инсталляция

После запуска червь копирует себя с именем «SERVICES.exe» в корневой каталог Windows и каталог автозагрузки:

  • %User Profile%\Start Menu\Programs\Startup\SERVICES.exe
  • %Windir%\SERVICES.exe

После этого червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Norton Auto-Protect"="SERVICES.exe"

Изменяет ключ системного реестра таким образом, чтобы при открытии текстовых файлов червь получал управление:

[HKCR\txtfile\shell\open\command]
   "[default]"="SERVICES.exe %1"

Создает следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr"="dword:00000001"
   "DisableRegistryTools"="dword:00000001"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoRun"="dword:00000001"
   "DisallowRun"="1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer\DisallowRun]
  "1"="regedit.exe"
   "2"="notepad.exe"
   "3"="wordpad.exe"
   "4"="write.exe"
   "5"="wuauclt.exe"
   "6"="wupdmgr.exe"
   "7"="%Program Files%\MSN Messenger\msnmsgr.exe"
  
  [HKLM\Software\Microsoft\windows NT\CurrentVersion\systemrestore]
  [HKCU\Software\Microsoft\windows NT\CurrentVersion\systemrestore]
   "DisableSR"="dword:00000001"
  
  [HKLM\Software\Microsoft\security center]
  [HKCU\Software\Microsoft\security center]
   "FirewallDisableNotify"="dword:00000001"
   "UpdatesDisableNotify"="dword:00000001"
   "AntiVirusDisableNotify"="dword:00000001"
  
  [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
  [HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
   "NoAutoUpdate"="dword:00000001"
  
  [HKCR\RDP.File]
   "Friendlytypename"="@SERVICES.exe, -4004"
  
  [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionrunservices-]
   "Windows Service"="SERVICES.exe"
  
  [HKLM\SOFTWARE\Microsoft\windows\CurrentVersionwindowsupdate\auto update]
   [default]="SERVICES.exe"
  
  [HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName]
   "ComputerName"="Agent Hacker"
  
  [HKLM\software\Microsoft\Internet Explorer\Registration]
  [HKLM\software\Microsoft\windowsnt\CurrentVersion]
  [HKLM\system\wpa\Key-MGM9K8XQ2GHRBGTP2TR93]
   "ProductId"="Agent Hacker"

Также Anker.a создает следующий файл:

C:\Norton Antivirus.txt

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

Service Pack 2 BUG!!

Текст письма:

Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Regards,
A.H

Имя файла-вложения:

Fix_SP2.zip

Червь скачивает файл-вложение «Fix_SP2.zip» с веб-сайта http://geocities.com.

Действие

Червь изменяет файл %System%\drivers\etc\hosts и дописывает в него соответствующий текст, тем самым закрывая доступ к следующим ресурсам:

  • 127.0.0.1 www.astalavista.com
  • 127.0.0.1 www.cnn.com
  • 127.0.0.1 www.coderheaven.com
  • 127.0.0.1 www.fbi.gov
  • 127.0.0.1 www.gamerevolution.com
  • 127.0.0.1 www.geocities.com
  • 127.0.0.1 www.google.com
  • 127.0.0.1 www.hackers.com
  • 127.0.0.1 www.hotmail.com
  • 127.0.0.1 www.idm.com
  • 127.0.0.1 www.messenger.msn.com
  • 127.0.0.1 www.microsoft.com
  • 127.0.0.1 www.msn.com
  • 127.0.0.1 www.norton.com
  • 127.0.0.1 www.rohitab.com
  • 127.0.0.1 www.symantec.com
  • 127.0.0.1 www.worldsex.com
  • 127.0.0.1 www.wwe.com
  • 127.0.0.1 www.yahoo.com

Anker.a выгружает из системы различные процессы, содержащие в именах следующие строки:

  • _Avpcc.exe
  • _avpm.exe
  • _findviru.exe
  • Ackwin32.exe
  • AGENTSVR.exe
  • Alogserv.exe
  • Amon.exe
  • Anti-trojan.exe
  • ANTIVIRUS.exe
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • Apvxdwin.exe
  • ATCON.EXE
  • Atguard.exe
  • ATRO55EN.EXE
  • ATUPDATER
  • ATUPDATER.exe
  • ATWATCH.EXE
  • Au.exe
  • AUPDATE.exe
  • AUTODOWN.exe
  • AUTOTRACE.exe
  • AUTOUPDATE.exe
  • AVCONSOL.EXE
  • Ave32.exe
  • AVGSERV9.EXE
  • Avkserv.exe
  • AVLTMAIN.exe
  • Avnt.exe
  • Avpcc.exe
  • Avpm.exe
  • AVprotect9x.exe
  • AVPUPD.exe
  • avserve2.exe
  • AVSYNMGR.EXE
  • Avwin95.exe
  • AVWUPD32.exe
  • AVXQUAR.exe
  • BD_PROFESSIONAL.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BlackIce.exe
  • BOOTWARN.EXE
  • BORG2.EXE
  • BS120.EXE
  • ccApp.exe
  • CDP.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.exe
  • CFINET.EXE
  • CFINET32.EXE
  • Claw95cf.exe
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • Cmgrdian.exe
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CPD.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • D3dupdate.exe
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • dfw.exe
  • DPF.EXE
  • DPFSETUP.EXE
  • DRWATSON.EXE
  • DRWEBUPW.exe
  • DRWEBUPW.EXE
  • Ecengine.exe
  • ENT.EXE
  • Esafe.exe
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • EXANTIVIRUS-CNET.EXE
  • FAST.EXE
  • Findviru.exe
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • Fprot.exe
  • F-prot95.exe
  • Fp-win.exe
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAV.EXE
  • fsav32.exe
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • fsbwsys.exe
  • fsgk32.exe
  • fsm32.exe
  • fssm32.exe
  • fvprotect.exe
  • GBMENU.EXE
  • GBPOLL.EXE
  • GUARD.EXE
  • Guarddog.exe
  • HACKTRACERSETUP.EXE
  • HTLOG.EXE
  • HWPE.EXE
  • Iamapp.exe
  • IAMAPP.EXE
  • IAMSERV.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSSUPPNT.exe
  • ICSSUPPNT.EXE
  • ICSUPP95.exe
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFW2000.EXE
  • Iomon98.exe
  • IPARMOR.EXE
  • IRIS.EXE
  • JAMMER.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KILLPROCESSSETUP161.EXE
  • LDPRO.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • Lookout.exe
  • LSETUP.EXE
  • LUALL.exe
  • LUCOMSERVER.EXE
  • LUINIT.EXE
  • mcagent.exe
  • MCAGENT.EXE
  • MCUPDATE.exe
  • MCUPDATE.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MOOLIVE.EXE
  • MRFLUX.EXE
  • msblast.exe
  • MSCONFIG.EXE
  • MSINFO32.EXE
  • MSSMMC32.EXE
  • MU0311AD.EXE
  • NAV80TRY.EXE
  • NAVAPSvc.exe
  • Navapsvc.exe
  • Navapw32.exe
  • navdx.exe
  • NAVDX.EXE
  • navstub.exe
  • NAVSTUB.EXE
  • Navt.exe
  • Navw32.exe
  • Navwnt.exe
  • Navwt.exe
  • nc2000.exe
  • NC2000.EXE
  • NCINST4.EXE
  • ndd32.exe
  • NDD32.EXE
  • NEOMONITOR.EXE
  • netarmor.exe
  • NETARMOR.EXE
  • netinfo.exe
  • NETINFO.EXE
  • netmon.exe
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETSTAT.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • nmain.exe
  • NMAIN.EXE
  • Nod32.exe
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • nprotect.exe
  • NSCHED32.EXE
  • Nsplugin.exe
  • ntvdm.exe
  • NTVDM.EXE
  • NUPGRADE.exe
  • NUPGRADE.exe
  • NVARCH16.EXE
  • NWINST4.EXE
  • NWTOOL16.EXE
  • Ogrc.exe
  • ostronet.exe
  • OSTRONET.EXE
  • Outpost.exe
  • OUTPOST.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PAVPROXY.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • pccguide.exe
  • pcciomon.exe
  • PCCIOMON.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PDSETUP.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PF2.EXE
  • PFWADMIN.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PROCEXPLORERV1.0.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • PURGE.EXE
  • PVIEW95.EXE
  • QCONSOLE.EXE
  • QSERVER.EXE
  • Rav7.exe
  • RAV8WIN32ENG.EXE
  • regedit.exe
  • regedit32.exe
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCN95.EXE
  • Rulaunch.exe
  • RULAUNCH.EXE
  • SAFEWEB.EXE
  • SAVScan.exe
  • SBSERV.EXE
  • Scan32.exe
  • SD.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SETUPVAMEEVAL.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SMC.EXE
  • Smss.exe
  • SOFI.EXE
  • SPF.EXE
  • SPHINX.EXE
  • Spider.exe
  • SPYXX.EXE
  • SS3EDIT.EXE
  • ST2.EXE
  • SUPFTRL.EXE
  • SUPPORTER5.EXE
  • SYMPROXYSVC.EXE
  • SYSEDIT.EXE
  • taskmgr.exe
  • TASKMON.EXE
  • TAUMON.EXE
  • TAUSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TDS-3.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • tnbutil.exe
  • TRACERT.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • UNDOBOOT.EXE
  • UPDATE.exe
  • UPDATE.EXE
  • VBCMSERV.EXE
  • vbcons.exe
  • VBCONS.EXE
  • vbsntw.exe
  • vbust.exe
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • Vet95.exe
  • Vettray.exe
  • VFSETUP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VNLAN300.EXEVNPC3000.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCENU6.02D30.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSISETUP.EXE
  • Vsmain.exe
  • vsmain.exe
  • VSMAIN.EXE
  • vsmon.exe
  • VSMON.EXE
  • vsstat.exe
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • W32DSM89.EXE
  • W9X.EXE
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • winlogon.exe
  • WINRECON.EXE
  • WNT.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WSBGATE.EXE
  • WYVERNWORKSFIREWALL.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • ZAUINST.EXE
  • Zonalarm.exe
  • ZONALM2601.EXE
  • ZONEALARM.EXE

Источник: Viruslist

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас