Имя:Worm/Soccer.A.1
Обнаружен:19/06/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:39.904 байт.
Контрольная сумма MD5:18dae171a9bd885fbc83e89af23d0072
Версия VDF:6.35.00.43
Версия IVDF:6.35.00.50 - среда, 21 июня 2006 г.
Эвристика:HEUR/Malware.Crypted.PSM

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\msctools.exe



Создаются следующие файлы:

– Файл с содержащимися в нем Email адресами:
   • %SYSDIR%\cats2.jpg

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\cats.jpg




Попытка загрузки следующего файла:

– Следующий URL:
   • http://couplesexxx.com/tumbs/**********
Сохраняется локально в: %TEMPDIR%\temps%несколько произвольных чисел%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Delf.apo

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%Число%"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Дизайн писем:
От: newsreader@hotmail.com
Тема: Naked World Cup game set
Текст письма:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Прикрепленный файл:
   • soccer_nudist.bmp.exe
От: todaynews@cnn.com
Тема: Crazy soccer fans
Текст письма:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Прикрепленный файл:
   • soccer_pics.jpg.exe
От: kellyjast@hotmail.com
Тема: Please reply me Tomas
Текст письма:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Прикрепленный файл:
   • kelly_nude_imgs.jpg.exe
От: hotnews@cnn.com
Тема: Soccer fans killed five teens
Текст письма:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Прикрепленный файл:
   • soccer_fans.jpg.exe
От: lindasal@gmail.com
Тема: My tricks for you
Текст письма:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Прикрепленный файл:
   • linda_bigtit.gif.exe

Прикрепленный файл является копией вредоносной программы:



Письмо могло бы выглядеть следующим образом:




 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Завершение процесса Список завершаемых процессов:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://sextraf.com/ms/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Собранные электронные адреса

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Victor Tone в(о) понедельник, 19 июня 2006 г.
Описание обновил Andrei Ivanes в(о) среда, 21 июня 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.