Имя:Worm/Scano.L
Обнаружен:27/04/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:18.346 байт.
Контрольная сумма MD5:c6681169cc2f1e40fe3dd47bb49d83f0
Версия VDF:6.34.01.14 - четверг, 27 апреля 2006 г.
Версия IVDF:6.34.01.14 - четверг, 27 апреля 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Areses.f
   •  TrendMicro: WORM_BAGLE.EP
   •  Sophos: W32/Bagle-GY
   •  VirusBuster: I-Worm.Scano.H
   •  Eset: Win32/Scano.L
   •  Bitdefender: Win32.Worm.Scano.L

Ранее были обнаружены как:
   •  HTML/Drop.Scan.AD.1


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\csrss.exe



Создается архив со своей собственной копией внутри:
   • %TEMPDIR%\Message.zip




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://207.46.250.119/g/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://www.microsoft.com/g/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://84.22.161.192/s/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Удаляются значения следующих ключей реестра:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Тело:
–  В некоторых случаях может быть пустой.
Тело письма имеет один из следующих видов:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Инфицирование –  Следующий файл вставляется в процесс: %WINDIR%\csrss.exe

    Все следующие процессы:
   • services.exe
   • svchost.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) вторник, 12 сентября 2006 г.
Описание обновил Irina Boldea в(о) вторник, 12 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.