Имя:Worm/Guap.D.1
Обнаружен:21/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:57.344 байт.
Контрольная сумма MD5:029126210d7ada36a810bfc546bcfeff
Версия VDF:6.32.0.33

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.Allim
   •  Mcafee: W32/Guap.worm
   •  Kaspersky: IM-Worm.Win32.Guap.d
   •  TrendMicro: WORM_GUAP.D
   •  VirusBuster: Worm.P2P.VB.CII
   •  Bitdefender: Win32.Worm.Denn.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\0penGLD.exe

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– Windows Live Messenger
– Yahoo Messenger


Кому:
Все записи из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • wow! me and my friends just got on my new webcam! come watch us: %ссылка%

   • wow.. is this you? %ссылка%

   • found your picture! is this you? %ссылка%

   • haha, this girl got busted so bad.. %ссылка%

   • lmao i cant stop laughing at this! %ссылка%

   • omg... this doesn't look right at all!! %ссылка%

   • this girl is crazy! go look at here - %ссылка%

   • you have to take a look at this, tell me if you can open it - %ссылка%

   • hey, you have to try this out... %ссылка% - removes all the spyware and viruses

   • check this out: %ссылка% - it's live and free

   • omg... i think i just found a pic of you, let me know - %ссылка%


%ссылка%
Пока групповой символ соответствует одному из следующих:
   • http://**********.earthlink.net/~nkjdenny/Webcam.exe
   • http://**********.earthlink.net/~nkjdenny/IMS.exe
   • http://**********.earthlink.net/~nkjdneny/RegistryFix.exe

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 Хосты Хост файл изменяется следующим образом:

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; symantec.com; securityresponse.symantec.com;
      sarc.com; www.sarc.com; www.sophos.com; sophos.com; www.mcafee.com;
      mcafee.com; liveupdate.symantecliveupdate.com; www.viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; f-prot.com;
      www.f-prot.com; kaspersky.com; kaspersky-labs.com; www.avp.com;
      avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      vil.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; housecall.trendmicro.com;
      pandasoftware.com; www.pandasoftware.com; free.grisoft.com;
      www.grisoft.com; grisoft.com; clamav.net; www.clamav.net; free-av.com;
      www.free-av.com; www.avast.com; avast.com; cert.org; www.cert.org;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      update.microsoft.com; windowsupdate.microsoft.com




Модифицированный хост-файл выглядит следующим образом:


 Завершение процесса  Список завершаемых служб:
   • sharedaccess
   • wuauserv

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Razvan Olteanu в(о) пятница, 23 сентября 2005 г.
Описание обновил Razvan Olteanu в(о) понедельник, 3 октября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.