Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:Worm/Scano.O.2
Обнаружен:04/05/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:18.084 байт.
Контрольная сумма MD5:a05bcd12683a646af7b4ff59ce555f7a
Версия VDF:6.34.01.36
Версия IVDF:6.34.01.37 - четверг, 4 мая 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.S
   •  Sophos: W32/Bagle-IU
   •  VirusBuster: I-Worm.Scano.U
   •  Eset: Win32/Scano.V
   •  Bitdefender: Win32.Scano.O@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\csrss.exe



Создается архив со своей собственной копией внутри:
   • %TEMPDIR%\Message.zip




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://207.46.250.119/g/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://www.microsoft.com/g/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://84.22.161.192/s/**********
На момент проверки данный файл не был доступен.



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\services.exe
с помощью следующего параметра командной строки: %WINDIR%\csrss.exe
Применяется для сокрытия процесса менеждера задач.

– Имя файла:
   • %SYSDIR%\svchost.exe
с помощью следующего параметра командной строки: %WINDIR%\csrss.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Удаляются значения следующих ключей реестра:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Hi, what's up?
   • He, where are you?
   • Hi, drop me a line!!!
   • Hi! Please write to me urgently!
   • Hi! I'm waiting you online today!
   • Will you be online today?
   • When you're gonna answer me?
   • Re: write to me!
   • Re: Call me!
   • Re: Where are you?
   • Re: When you're gonna answer me?
   • Hi!!! How's the mood?
   • Re: How's the mood?
   • Re: Where have you been?



Тело:
–  В некоторых случаях может быть пустой.
Тело письма имеет один из следующих видов:

   • Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

   • Hi, what's up? Will you show up online today?
     Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

   • Hi!
     I'm coming to you tomorrow, ok? When you are going to be home?
     You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

   • Hi!
     You disappeared again. If you come online, drop me a line, ok?
     Btw, I sent you those docs that you've been looking for. Check them out. Bye!

   • Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

   • Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

   • Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

   • Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

   • Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

   • Hi, I found that program you asked for. Find it attached. Bye.

   • Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...
     What's up! You haven't been writing for a long time
     I got news. I've finally that program you needed
     I'm sending it out. Use it. Bye!

   • Hi, drop me a line today, ok? And see the program I'm sending. Bye!

   • Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

   • Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) вторник, 7 ноября 2006 г.
Описание обновил Irina Boldea в(о) пятница, 10 ноября 2006 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.