Имя:Worm/Agent.aii
Обнаружен:25/10/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:733.184 байт.
Контрольная сумма MD5:bbe4701b9fbb05416993791b02b98653
Версия VDF:6.36.00.149
Версия IVDF:6.36.00.166 - среда, 25 октября 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: Generic BackDoor.u
   •  Kaspersky: Backdoor.Win32.Agent.aii
   •  Sophos: W32/Mytob-JI
   •  Eset: Win32/Mytob.VE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\winemail.exe

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Email"="winemail.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Email"="winemail.exe"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%шестнадцатиричное значение%
   • "{K7C0DB872A3F777C0}"=%шестнадцатиричное значение%
   • "{I7B4ED451FFFFFFFF}"=%шестнадцатиричное значение%
   • "{07B4ED451FFFFFFFF}"=%шестнадцатиричное значение%

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}]
   • @="Media Clip"
   • "AppID"="{00022601-0000-0000-C000-000000000046}"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\AuxUserType\2]
   • @="Media Clip"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   DefaultSet]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\0]
   • @="Embed Source,1,8,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\1]
   • @="3,1,32,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\2]
   • @="8,1,1,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DefaultIcon]
   • @="mplay32.exe,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\InprocHandler32]
   • @="ole32.dll"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\Insertable]
   • @=""

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer32]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\MiscStatus]
   • @="0"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\ProgID]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\0]
   • @="&Play,0,3"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\1]
   • @="&Edit,0,2"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\2]
   • @="&Open,0,2"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Account Alert
   • %случайные слова%



Тело:
– Содержит HTML код.
– Содержит ссылку на другое вредоносное ПО.
–  В некоторых случаях может быть пустой.
–  В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:

   • Dear Valued Member,
     According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.
     http://www.%Доменное имя и имя домен верхнего уровня электронного адреса отправителя%/confirm.php?account=%Электронный адрес получателя%
     After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
     Thanks for your attention to this request. We apologize for any inconvenience.
     Sincerely, %доменная часть электронного адреса отправителя% Department



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab


Создание адресов отправителя:
Для генерации адресов применяется следующая строка:
   • abuse

Комбинируется с обнаруженным в файлах системы доменным именем.


Создание адресов получателя:
Для генерации адресов применяется следующая строка:
   • %случайная
Описание добавил Monica Ghitun в(о) среда, 25 октября 2006 г.
Описание обновил Monica Ghitun в(о) среда, 22 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.