Имя:Worm/Harwig.C
Обнаружен:30/08/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:101,446 байт.
Контрольная сумма MD5:070bf77be2f7361d4d52a5a646ae420d
Версия VDF:6.30.0.222

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\abcdefg.exe



Создается файл:

%WINDIR%\AST.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/RBot.72262

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger


Сообщение
Отправленное сообщение выглядит следующим образом:

   • It is you on that picture right?
     Here check it %ссылка%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%ссылка%
Пока груповой символ соответствует следующему:
   • http://www.**********database.info/ugly/picture40328.PIF

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующему домену:
   • messenger.hotmail.com




Модифицированный хост-файл выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Morphine 1.4 - 2.7

Описание добавил Iulia Diaconescu в(о) среда, 31 августа 2005 г.
Описание обновил Iulia Diaconescu в(о) понедельник, 19 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.