Имя:Worm/TermX.A
Обнаружен:14/05/2007
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:186.166 байт.
Контрольная сумма MD5:09b5dc62a921a88153cd34b08716b479
Версия VDF:6.38.01.136
Версия IVDF:6.38.01.142 - вторник, 15 мая 2007 г.

 Общее Метод распространения:
   • Messenger


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\svhost32.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://bestwish.info**********
Данный файл запускается на выполнение после его полной загрузки. На момент проверки данная версия вредоносной программы была новой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Task Manager"="%WINDIR%\svhost32.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://bestwish.info/**********"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://bestwish.info/**********"



Изменяются следующие ключи реестра:

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • "Search Page"="http://bestwish.info/**********"
   • "Start Page"="http://bestwish.info/**********"

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Новое значение:
   • "DisableConfig"="1"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   Новое значение:
   • "(Default)"="http://bestwish.info/**********"

– [HKCU\Software\Microsoft\Search Assistant]
   Новое значение:
   • "DefaultSearchURL"="http://bestwish.info/**********"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger
– Windows Messenger


Кому:
Все записи из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • c’est ma carte de voeux de Noel que j’ai fait seulement pour toi http://bestwish.info/********** ^_^

   • Microsoft donne 2007 copies gratuits de Windows Vista pour 2007 premieres inscriptions : http://bestwish.info/********** >:D< est envoyé par %актуальное имя пользователя% pas de virus

   • vote pour notre Miss de beauté aujourd’hui :x " http://bestwish.info/********** :x:x:x:x:x est envoyé par %актуальное имя пользователя% pas de virus

   • the only way to clean some online viruses that may lead you into troubles : http://bestwish.info/********** << est envoyé par %актуальное имя пользователя% pas de virus

   • Joyeux Noel et Bonne année !!! http://bestwish.info/********** <<

   • l’entrainneur de Chelsea est gravement blessé par Gallad http://bestwish.info/********** est envoyé par %актуальное имя пользователя% pas de virus

   • Attention!!! Il y aura un tremblement de terre ce soir : http://bestwish.info/********** est envoyé par %актуальное имя пользователя% pas de virus

   • J’ai fait 10 cadeaux pour les 10 premieres personnes qui commentent sur mon site web : http://bestwish.info/********** c0ol !!! est envoyé par %актуальное имя пользователя% pas de virus

   • you are virus infected . Use this tool to remove viruses from your PC : http://bestwish.info/********** << est envoyé par %актуальное имя пользователя% pas de virus

   • Enculé !!! http://bestwish.info/********** X-(

   • Osama Bin Laden est arreté http://bestwish.info/********** est envoyé par %актуальное имя пользователя% pas de virus

   • Creer les bombs hyper forts avec Whisky, Coke et Mentos http://bestwish.info/********** est envoyé par %актуальное имя пользователя% pas de virus

   • J'ai gagne au LOTO: http://bestwish.info/********** Viens feter chez moi !!!


Полученное сообщение может выглядеть следующим образом:


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Ernest Szocs в(о) понедельник, 14 мая 2007 г.
Описание обновил Ernest Szocs в(о) вторник, 15 мая 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.