Имя:Worm/Ntech.D
Обнаружен:13/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:20.992 байт.
Контрольная сумма MD5:DFADE0D9B21BE4FD57DD6975D9FE7CCD
Версия IVDF:6.39.00.233 - понедельник, 13 августа 2007 г.

 Общее Метод распространения:
   • Email


Операционные системы:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Использует собственный почтовый движок

 Файлы  Создается следующая директория:
   • %WINDIR%\temp\



Файл будет переписан.
%SYSDIR%\driver\secdrv.sys



Создаются следующие файлы:

%SYSDIR%\driver\runtime.sys После полного завершения процесса создания он запускается на выполнение. Определен как: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Определен как: Worm/Ntech.E

%SYSDIR%\driver\runtime2.sys Определен как: RKit/Posh.A




Попытка загрузки следующего файла:

– Следующий URL:
   • http://67.18.114.98/**********
Сохраняется локально в: %TEMPDIR%\%несколько произвольных чисел%8.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %SYSDIR%\driver\runtime2.sys
Применяется для сокрытия процесса менеждера задач. Определен как: RKit/Posh.A

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Email Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:


От:
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– Собранные в Интернете адреса.


Тема:
Одно из следующих:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

Не указана тема письма.
Тема письма содержит случайные знаки.


Тело:
Тело письма имеет один из следующих видов:

   • %Заменитель символов 1%, %Заменитель символов 2%!
     
     Funny game. %Заменитель символов 3% fucks %Заменитель символов 4%... In your attachemnt.

   • %Заменитель символов 1%, %Заменитель символов 2%!
     
     Amusing game. %Заменитель символов 3% fucks %Заменитель символов 4%... In your attachemnt.


Иногда продолжается одним из следующих:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%Заменитель символов 1% распространяется на одну из следующих позиций:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%Заменитель символов 2% распространяется на одну из следующих позиций:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%Заменитель символов 3% распространяется на одну из следующих позиций:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%Заменитель символов 4% распространяется на одну из следующих позиций:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Прикрепленный файл:

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Backdoor Устанавливает соединение с сервером
Следующий:
   • 216.195.61.87:2581



Возможности удаленного контроля:
    • Отправить электронную почту

 Технология Rootkit – Собственные файлы
– Собственные процессы


Используемый метод:
    • Невидимо из Interrupt Descriptor Table (IDT)

Внедряется в следующие API-функции:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Описание добавил Viktor Graeber в(о) понедельник, 13 августа 2007 г.
Описание обновил Philipp Wolf в(о) понедельник, 13 августа 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.