Имя:Worm/Womble.A
Обнаружен:29/08/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:79.360 байт.
Версия VDF:6.35.01.156
Версия IVDF:6.35.01.159 - среда, 30 августа 2006 г.
Эвристика:HEUR/Crypted.Patched

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 Файлы Создаются собственные копии:
   • %SYSDIR%\%выполненный файл%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%text1%.exe
   • \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%text1%.pif



Создаются следующие файлы:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: EXP/MS06-001.WMF

– \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%text1%.wmf Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: EXP/MS06-001.WMF

– \\%Компьютеры в данном домене%\%сетевая папка общего доступа%\%text1%.jpg Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: EXP/MS06-001.WMF

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %знаки пробела% %SYSDIR%\%выполненный файл%"
   • "Userinit"="%SYSDIR%\userinit.exe %знаки пробела% ,%SYSDIR%\%выполненный файл%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%выполненный файл%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%выполненный файл%"



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



Тело:
Тело письма имеет один из следующих видов:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %случайная комбинация букв из девяти букв%
     
     -----------------------------
     


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • %text%

Завершается одним из следующих:
   • exe
   • pif

    Заканчивается следующей строкой:
   • zip

–  Начинается одним из следующих:
   • %text1%

Завершается одним из следующих:
   • exe
   • jpg
   • pif
   • wmf

    Заканчивается следующей строкой:
   • passw
   • psw

    Имеет одно из следующих фальшивых расширений файлов:
   • zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Прикрепленный файл является копией созданного файла: %text1%.jpg; %text1%.wmf



Письмо могло бы выглядеть следующим образом:



 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.


Возможности удаленного контроля:
    • Загрузить файл

 Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://www.sun.com/index.html


Мьютекс:
Создается мьютекс:
   • wmf.mtx.3

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Ivanes в(о) вторник, 29 августа 2006 г.
Описание обновил Andrei Ivanes в(о) четверг, 31 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.