Net-Worm.Win32.Nanspy.d
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX.
Net-Worm.Win32.Nanspy.d ( «Лаборатория Касперского») также известен как: W32/Generic.Delphi.b ( McAfee), W32.Kassbot ( Symantec), Trojan.DownLoader.3636 ( Doctor Web), W32/Nanpy-C ( Sophos), WORM_NANPY.A ( Trend Micro), Exploit.DCOM.Gen ( ClamAV), Trj/Downloader.DAN ( Panda) <P>
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX. Размер распакованного файла около 103 KБ.
Вирус распространяется, используя уязвимость Microsoft Windows DCOM RPС (MS03-026). Подробное описание этой уязвимости здесь: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем "mmsvc32.exe":
%System%\mmsvc32.exe
и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Network Services Controller" = "%System%\mmsvc32.exe"
т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение через интернет
Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости DCOM RPС, запускает на удаленной машине свой код.
Действие
Червь отслеживает все открытые окна Internet Explorer и в том случае, если в окне браузера просматривается определенный интернет сайт, попадающий в следующий список:
lloydstsb.co.uk online.lloydstsb.co.uk www.lloydstsb.co.uk www.lloydstsb.com personal.barclays.co.uk barclays.co.uk ibank.barclays.co.uk www.barclays.co.uk www.nwolb.com nwolb.com hsbc.co.uk www.hsbc.co.uk abbey.com www.abbey.com www.abbey.co.uk abbey.co.uk cahoot.com www.cahoot.com www.cahoot.co.uk cahoot.co.uk www.co-operativebank.co.uk co-operativebank.co.uk www.co-operativebank.com co-operativebank.com welcome2.co-operativebankonline.co.uk welcome6.co-operativebankonline.co.uk welcome8.co-operativebankonline.co.uk welcome10.co-operativebankonline.co.uk www.smile.co.uk smile.co.uk www.cajamar.es cajamar.es www.cajamar.com cajamar.com www.unicaja.es unicaja.es www.unicaja.com unicaja.com www.caixagalicia.es caixagalicia.es www.caixagalicia.com caixagalicia.com activa.caixagalicia.es www.caixapenedes.es caixapenedes.es www.caixapenedes.com caixapenedes.com bancae.caixapenedes.com www.caixasabadell.es caixasabadell.es www.caixasabadell.net caixasabadell.net www.cajamadrid.es cajamadrid.es www.cajamadrid.com cajamadrid.com oi.cajamadrid.es www.ccm.es ccm.es
Червь собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры) и сохраняет ее в создаваемый файл в системном каталоге Windows.
Также червь имеет функцию загрузки своих обновлений с удаленного сервера в Интернете.
Храним важное в надежном месте