Имя:Worm/KillAV.GR
CME-номер:24
Обнаружен:19/01/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~100.000 байт.
Версия VDF:6.33.00.140

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Blackmal.E@mm
   •  Mcafee: W32/MyWife.d@MM!M24
   •  Kaspersky: Email-Worm.Win32.Nyxem.e
   •  TrendMicro: WORM_GREW.A
   •  F-Secure: Email-Worm.Win32.Nyxem.e
   •  Sophos: W32/Nyxem-D
   •  Panda: W32/Tearec.A.worm
   •  Grisoft: Worm/Generic.FX
   •  VirusBuster: Worm.P2P.VB.CIL
   •  Bitdefender: Win32.Nyxem.E@mm

Ранее были обнаружены как:
   •  TR/KillAV.GR


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\Rundll16.exe
   • %WINDIR%\sytem32\scanregw.exe
   • %WINDIR%\sytem32\Update.exe
   • %WINDIR%\sytem32\Winzip.exe



Следующие файлы будут переписаны.
Встроенная синхронизация времени запускается в указанный момент времени: Если параметр ДЕНЬ имеет следующее значение: 3

%все папки%

Расширение файлов:
   • .doc
   • .xls
   • .mdb
   • .mde
   • .ppt
   • .pps
   • .zip
   • .rar
   • .pdf
   • .psd
   • .dmp

Со следующим содержимым:
   • DATA Error [47 0F 94 93 F4 K5]




Удаляются следующие файлы:
   • %PROGRAM FILES%\*.htm*
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar



Создается файл:

%SYSDIR%\%выполненный файл%.zip Открывается с помощью предложенного стандартного приложения.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ScanRegistry"="scanregw.exe /scan"



Удаляются значения следующих ключей реестра:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask



Изменяется следующий ключ реестра:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Прежнее значение:
   • "WebView""=%Настройки пользователя%
   Новое значение:
   • "WebView""=dowrd:00000000

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
–Полученные из Yahoo! Messenger адреса электронной почты
–Полученные из MSN Messenger адреса электронной почты


Тема:
Одно из следующих:
   • The Best Videoclip Ever; School girl fantasies gone bad; A Great
      Video; Fuckin Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss;
      *Hot Movie*; Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fwd: Crazy
      illegal Sex!; Fw: Sexy; Re:; Fw:; Fw: Picturs; Fw: DSC-00465.jpg; Word
      file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View This
      Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; Photos; Fwd:
      image.jpg

Тема письма иногда может оставаться пустой.


Тело:
Тело письма имеет один из следующих видов:

   • Note: forwarded message attached.

   • Hot XXX Yahoo Groups

   • Fuckin Kama Sutra pics

   • ready to be FUCKED ;)

   • VIDEOS! FREE! (US$ 0,00)

   • >> forwarded message

   • ----- forwarded message -----

   • i just any one see my photos. It's Free :)

   • hello,
     i send the file.
     bye

   • hi
     i send the details
     bye

   • how are you?
     i send the details.
     OK ?

   • i attached the details.

   • Thank you

   • Please see the file.

   • What?

   • ???????????????????????????? ????????????? ??????
     ???????????


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • DSC-00465.Pif; image04.pif; photo.pif; School.pif; 677.pif; 04.pif;
      eBook.PIF; New_Document_file.pif; 007.pif; document.pif;
      DSC-00465.pIf; Video_part.mim; Attachments[001].B64;
      3.92315089702606E02.UUE; WinZip.BHX; Attachments001.BHX; Sex.mim;
      Original Message.B64; eBook.Uu; Attachments00.HQX; Word_Document.hqx;
      Word_Document.uu

Прикрепленный файл является копией вредоносной программы:



Письмо могло бы выглядеть следующим образом:



 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .HTM; .DBX; .EML; .MSG; .OFT; .NWS; .VCF; .MBX; .IMH; .TXT; .MSF


Связывается с DNS:
Имеется возможность связаться со следующим DNS сервером:
   • ns1.%доменная часть электронного
      адреса получателя%

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • C$


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующее имя пользователя:
   • administrator



Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 Завершение процесса Завершение процессов с одним из следующих имен окна:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX


 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://webstats.web.rcn.net/cgi-bin/**********?df=765247

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса CGI скрипта.


Передает информацию о:
    • Текущий malware статус.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ivanes в(о) пятница, 20 января 2006 г.
Описание обновил Andrei Gherman в(о) вторник, 12 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.