Security Lab

Net-Worm.Win32.Ezio.a

Net-Worm.Win32.Ezio.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Net-Worm.Win32.Ezio.a («Лаборатория Касперского») также известен как: W32/Ezio.gen@MM (McAfee), W32.Ezio.A@mm (Symantec), W32/Ezio-A (Sophos), Worm:Win32/Enzio.A (RAV), WORM_EZIO.A (Trend Micro), Worm/Ezio.A (H+BEDV), Worm/Ezio.A (Grisoft), Win32.Worm.Ezio.A (SOFTWIN), W32/Krynos.B.worm (Panda), Win32/Ezio.A (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows. Написан на языке Visual C++ и имеет размер около 140 КБ.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

  Can`t open MFC78Eng.dll 

При инсталляции червь копирует себя с именем svchost.exe в следующий каталог:

%Windir%\Help\svchost.exe

Также червь создает следующие файлы:

  
  %Windir%\Help\document.zip
  %Windir%\Help\Hi.gif 
  %Windir%\Help\svchost.dat 
  %Windir%\Help\svchost.enc 

Затем червь регистрирует себя в ключе автозагрузки системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "Windows Service Host Process"="%Windir%\
  Help\svchost.exe" 

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями htm и txt и рассылает себя по всем найденным в них адресам электронной почты.

Игнорируется отправка писем на адреса, содержащие строки:

  
  .edu
  .gov
  .mil
  @angelfire.com
  @cisco.com
  @cpan.org
  @eff.org
  @ethereal.com
  @geocities.
  @gnu.org
  @hotmail
  @iana
  @lists.
  @lucent.com
  @msn.com
  @perl.org
  @python.org
  @relay
  @sun.com
  @tcpdump.org
  @yahoo
  abuse
  admin@
  advertising@
  announce
  anyone
  anywhere
  aol.com
  arin.
  avp
  blockme
  bsd.org
  bugs@
  cert.org
  certs@
  contact@
  customer@
  drsolomon
  example
  excite.com
  feedback@
  
  	
  
  f-prot
  google
  grisoft.com
  help@
  ibm.com
  info@
  kaspersky
  linux
  lycos.com
  master
  mcafee
  microsoft
  mozilla
  msdn
  netscape
  news
  nobody
  noreply
  panda
  pgp
  rating@
  ripe-
  ripe.
  root@
  sales@
  secur
  sendmail
  service@
  sophos
  sourceforge
  spam
  submit
  subscribe
  support
  symantec
  unix
  user@
  virus
  whatever@
  whoever@
  yourname
  

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Тема письма:

Mail Error

Текст письма:

Please see the attached document for details.

Имя файла-вложения:

document.zip

Размножение через файлообменные сети

Червь копирует себя в следующие каталоги систем файлообмена:

  
  C:\My Downloads
  C:\Program Files\BearShare\Shared
  C:\Program Files\direct connect\received files
  C:\Program Files\eDonkey2000\incoming
  C:\Program Files\eMule\Incoming
  C:\Program Files\gnucleus\downloads
  C:\Program Files\gnucleus\downloads\incoming
  C:\Program Files\grokster\my grokster
  C:\Program Files\grokster\my shared folder
  C:\Program Files\icq\shared files
  C:\Program Files\KaZaa Lite\My Shared Folder
  C:\Program Files\KaZaa\My Shared Folder
  C:\Program Files\KMD\my shared folder
  C:\Program Files\limeWire\shared
  C:\Program Files\Morpheus\my shared folder
  C:\Program Files\StreamCast\Morpheus\my shared folder
  C:\programmi\BearShare\Shared
  C:\programmi\direct connect\received files
  C:\programmi\eDonkey2000\incoming
  C:\programmi\eMule\Incoming
  C:\programmi\gnucleus\downloads
  C:\programmi\gnucleus\downloads\incoming
  C:\programmi\grokster\my grokster
  C:\programmi\grokster\my shared folder
  C:\programmi\icq\shared files
  C:\programmi\KaZaa Lite\My Shared Folder
  C:\programmi\KaZaa\My Shared Folder
  C:\programmi\KMD\my shared folder
  C:\programmi\limeWire\shared
  C:\programmi\Morpheus\my shared folder
  C:\Programmi\StreamCast\Morpheus\my shared folder

После чего другие пользователи этих систем файлообмена могут свободно скачать и запустить на своем компьютере копию червя.

Действие

Ezio.a блокирует работу некоторых приложений путем удаления следующих ключей системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\32-bit Thunking service]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\9xHtProtect]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\ICQ Net]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\JavaVM]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\lsass]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\MyAV]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\Norton Antivirus AV]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\RPCserv32]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\service]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\Services]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\Special Firewall Service]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\SysMonX]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\SysMonXP]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\Tiny AV]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run\Wxp4]
  

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

  
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 f-secure.com
  127.0.0.1 ftp.f-secure.com
  127.0.0.1 ftp.sophos.com
  127.0.0.1 kaspersky.com
  127.0.0.1 kaspersky.ru
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 rads.mcafee.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 service1.symantec.com
  127.0.0.1 sophos.ch
  127.0.0.1 sophos.com
  127.0.0.1 symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 viruslist.ru
  127.0.0.1 www.avp.ch
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.ru
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.mcafeehelp.com
  127.0.0.1 www.sophos.ch
  127.0.0.1 www.sophos.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.viruslist.ru
  

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!