Имя:Worm/Anker.P
Обнаружен:02/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:15.872 байт.
Контрольная сумма MD5:0d190e489ecb8c595425eb7543ee2624
Версия VDF:6.31.1.208

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Последствия:
   • Загружает файл
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\Bazzi.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Сохраняется локально в: %SYSDIR%\MSWINSCK.OCX

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Изменяются следующие ключи реестра:

– [HKLM\Software\speedBit\Download Accelerator]
   Прежнее значение:
   • "BrowserIntegration"=%Настройки пользователя%
   Новое значение:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"="=%Настройки пользователя%
   Новое значение:
   • "Hidden"=dword:00000000

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Дизайн писем:
От: peter_parker@hotmail.com
Тема: Returned mail
Текст письма:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.
От: mariah_hillary@aol.com
Тема: Delivery Error
Текст письма:
   • Mail transaction failed. Partial message is available.
От: johnloke@msn.uk
Тема: Status
Текст письма:
   • The message contains Unicode characters and has been sent as a binary attachment.
От: bazzi@microsoft.com
Тема: Server Report
Текст письма:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.
От: sarah_alia@yahoo.com
Тема: Mail Transaction Failed
Текст письма:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
От: seniormanager@byblos.com
Тема: Mail Delivery System
Текст письма:
   • Your credit card was charged for $500 USD. For additional information see the attachment.
От: michel_bado@gmail.com
Тема: Do not reply to this email!
Текст письма:
   • ESMTP [Secure Mail System 334]: Secure message is attached.
От: otacon@konami.jp
Тема: Error
Текст письма:
   • Encrypted message is available.
От: majortom@fbi.gov
Тема: FWD:Hello
Текст письма:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.
От: hilton_britgette@ahker.lb
Тема: FWD:Hey
Текст письма:
   • Bad Gateway: The message has been attached.
От: billy@hacker.com
Тема: There you go!
Текст письма:
   • There is the password you requested!
От: agent@hacker.com
Тема: Password Cracked!
Текст письма:
   • Hotmail Cracker Version 2.25 attached!


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Message.Zip

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Завершение процесса Завершение процесса:
   • DAP.exe


 DoS Непосредственно после запуска вредоносной программы начинается DoS атака следующей цели:
   • http://www.rohitab.com

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Razvan Olteanu в(о) понедельник, 5 сентября 2005 г.
Описание обновил Razvan Olteanu в(о) понедельник, 5 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.