Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows, имеет размер около 8 КБ.
Инсталляция
После запуска червь копирует себя в корневой каталог Windows с именем regedit.com:
%WinDir%\regedit.com
В результате при открытии системного реестра (regedit.exe) на компьютере запускается копия вируса.
Также червь создает свою копию с именем iexplore.exe в следующей папке:
%System%\Microsoft\iexplore.exe
Затем червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot] "shell"="%System%\Microsoft\iexplore.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adb dbx dhtm doc eml htm msg pab php shtm tbb txt uin wab xls
Игнорируется отправка писем на адреса, содержащие строки:
@avp. @bitdefen @borlan @drweb @fido @foo @iana @ietf @kasper @klamav @license @mcafee @messagelab @microsof @mydomai @nod3 @nodomai @norman @panda @rfc-ed @somedomai @sopho @symante @usenet @virusli abuse@ accoun admin@ antivir anyone@ bsd bugs@ contact@ contract@ free-av f-secur google help@ info@ listserv mailer- mozzila news@ newvir nobody@ noone@ noreply notice@ page@ pgp podpiska@ postmaster@ privacy@ rar@ rating@ register@ root@ sales@ service@ site@ soft@ spm111@ suporte@ support@ technical@ the.bat update@ virus@ webmaster@ winrar winzip you@
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
Access denied Avec l'anniversaire Chat notify! Con el dia del nacimiento Contracto Den Vertrag Hotmail password Ich liebe dich L'accord Love you! Me email Re: 666 Re: Bugs Re: Crack Re: Die Begegnung geev Re: El encuentro Chata Re: el Encuentro de los gays Re: Encuentro en 15:30 Re: Exploit for Outlook Express 6.0 Re: FUCK YOU! Re: Gipfeltreffen Re: I Gey Re: I Love you Re: Je t'aime Re: La Rencontre CHata Re: La rencontre des gays Re: Love message Re: Meeting of gays Re: Meine Daten Re: Mes donnees Re: Mi dados Re: Mit dem Geburtstag Re: New Exploit for Windows XP Re: rencontre a 15:30 Re: te amo Re: V.I.P Re: Встреча в 15:30 Re: Встреча геев Re: Встреча лезбиянок Re: Встреча Чата Re: Мои данные Re: С днём рождения Re: Я тебя люблю The Cannabis Treffpunkt Your Dead!
Текст письма:
Выбирается из списка:
>Thank you..! Agreed... All right.. Bien Congrulate..! Danke erreichen. Danke.. De la chance, merci. des Erfolges.. Est d'accord esta bien.. Gracias Han acordado... Gracias! Gut werde ich. Habel sich vereinbart.. I will come well. Je viens bien... los Aciertos.. Merci.. Ont convenu Successes.. vendre Bien. Договор Договорились.. Ладно... Согласен.. Спасибо.. Удачи, спасибо. Хорошо приду..
Имя файла-вложения:
Выбирается из списка:
Dados das Dokument data Daten Den Text des Einzelteil die Mitteilung Documento Donnees el Detalle el mensaje El texto info Information la Info le Document le message Le texte Les details Like misk Note postmaster price readme text Данные Детали Документ Инфо Информация сообщение текст
Вложения могут иметь одно из расширений:
...sCR .+.scR _..ScR +.sCR+.sCR
Размножение через файлообменные сети
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
Crack collection.scr DDoS bot(src)..scr Forum Hack.txt.scr Hack Chat.exe Hack Unix Server(info).scr Kaspersy Antivirus Key(ver.5.xx,Pro,Personal).exe Land Attack(source and files).exe NLP.scr Screensaver for Hackers.scr Winamp 6(plugins).exe Windows 2000(source code).scr
Действие
Kipis.u выгружает из системы различные процессы, содержащие в именах следующие строки:
anvir apv avc aveng avg avk avp avw avx bkacki blackd blss cfi clean defwat drweb egedit.ex ewall fsa fsm guard hijack hxde ilemon kerio klagent klamav luacomserv minilog. monitor mooli mosta mpf nav neomon netarm netspy nisse nisum nod3 nod3 norman normis norton outpos pav pavsrv pcc protect proxy. rav rfw spider svc. syman taskmgr tmon trojan updat upgrad virus vsmon zapro. zonalm zonea
Собираем и анализируем опыт профессионалов ИБ