Имя:Worm/Small.B.3
Обнаружен:03/06/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:119.296 байт.
Контрольная сумма MD5:58180E0Dd5ff2df69979336c343e32f0
Версия VDF:6.34.01.182
Версия IVDF:6.34.01.188 - вторник, 6 июня 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %SYSDIR%\krnl32.dll
   • %Рабочая папка вредоносной программы%\photos.exe



Создаются следующие файлы:

– Незараженные файлы:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %Настройки пользователя%\photo1.jpg
   • %Настройки пользователя%\photo2.jpg
   • %Настройки пользователя%\photo3.jpg

%SYSDIR%\krnl32.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Small.B.4

%Рабочая папка вредоносной программы%\~$run.$$$ Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Small.B.4

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Программа обладает дополнительной способностью рассылать письма с информацией о системе. Автором письма может быть сам получатель.


От:
Список возможных отправителей письма:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Следующее:
   • %текст на русском языке%
      %актуальная дата% %актуальное
      время (часы)%



Тело:
Тело письма имеет следующий вид:
   • %текст на русском языке%


Прикрепленный файл:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующим MX сервером:
   • mail.rambler.ru

 Кража Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Пароли следующих программ:
   • The Bat!
   • Opera

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
   • ASPack
   • UPX

Описание добавил Andrei Gherman в(о) пятница, 9 июня 2006 г.
Описание обновил Andrei Gherman в(о) пятница, 9 июня 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.