Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows. Написан на языке Visual C++ и имеет размер около 140 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующую ошибку:
Can`t open MFC78Eng.dll
При инсталляции червь копирует себя с именем svchost.exe в следующий каталог:
%Windir%\Help\svchost.exe
Также червь создает следующие файлы:
%Windir%\Help\document.zip %Windir%\Help\Hi.gif %Windir%\Help\svchost.dat %Windir%\Help\svchost.enc
Затем червь регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "Windows Service Host Process"="%Windir%\ Help\svchost.exe"
Распространение через email
Для поиска адресов жертв червь сканирует файлы с расширениями htm и txt и рассылает себя по всем найденным в них адресам электронной почты.
Игнорируется отправка писем на адреса, содержащие строки:
.edu .gov .mil @angelfire.com @cisco.com @cpan.org @eff.org @ethereal.com @geocities. @gnu.org @hotmail @iana @lists. @lucent.com @msn.com @perl.org @python.org @relay @sun.com @tcpdump.org @yahoo abuse admin@ advertising@ announce anyone anywhere aol.com arin. avp blockme bsd.org bugs@ cert.org certs@ contact@ customer@ drsolomon example excite.com feedback@ f-prot google grisoft.com help@ ibm.com info@ kaspersky linux lycos.com master mcafee microsoft mozilla msdn netscape news nobody noreply panda pgp rating@ ripe- ripe. root@ sales@ secur sendmail service@ sophos sourceforge spam submit subscribe support symantec unix user@ virus whatever@ whoever@ yourname
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Характеристики зараженных писем
Тема письма:
Mail Error
Текст письма:
Please see the attached document for details.
Имя файла-вложения:
document.zip
Размножение через файлообменные сети
Червь копирует себя в следующие каталоги систем файлообмена:
C:\My Downloads C:\Program Files\BearShare\Shared C:\Program Files\direct connect\received files C:\Program Files\eDonkey2000\incoming C:\Program Files\eMule\Incoming C:\Program Files\gnucleus\downloads C:\Program Files\gnucleus\downloads\incoming C:\Program Files\grokster\my grokster C:\Program Files\grokster\my shared folder C:\Program Files\icq\shared files C:\Program Files\KaZaa Lite\My Shared Folder C:\Program Files\KaZaa\My Shared Folder C:\Program Files\KMD\my shared folder C:\Program Files\limeWire\shared C:\Program Files\Morpheus\my shared folder C:\Program Files\StreamCast\Morpheus\my shared folder C:\programmi\BearShare\Shared C:\programmi\direct connect\received files C:\programmi\eDonkey2000\incoming C:\programmi\eMule\Incoming C:\programmi\gnucleus\downloads C:\programmi\gnucleus\downloads\incoming C:\programmi\grokster\my grokster C:\programmi\grokster\my shared folder C:\programmi\icq\shared files C:\programmi\KaZaa Lite\My Shared Folder C:\programmi\KaZaa\My Shared Folder C:\programmi\KMD\my shared folder C:\programmi\limeWire\shared C:\programmi\Morpheus\my shared folder C:\Programmi\StreamCast\Morpheus\my shared folder
После чего другие пользователи этих систем файлообмена могут свободно скачать и запустить на своем компьютере копию червя.
Действие
Ezio.a блокирует работу некоторых приложений путем удаления следующих ключей системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\32-bit Thunking service] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\9xHtProtect] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ICQ Net] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\JavaVM] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\lsass] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\MyAV] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Norton Antivirus AV] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\RPCserv32] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\service] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Services] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Special Firewall Service] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\SysMonX] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\SysMonXP] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Tiny AV] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Wxp4]
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky.ru 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 rads.mcafee.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.ch 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.ru 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.mcafee.com 127.0.0.1 www.mcafeehelp.com 127.0.0.1 www.sophos.ch 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.ru
Собираем и анализируем опыт профессионалов ИБ