Имя:Worm/Traxgy.B
Обнаружен:30/08/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:57.344 байт.
Версия IVDF:6.31.01.196 - вторник, 30 августа 2005 г.

 Общее Методы распространения:
   • Email
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %Диск%:\WINDOWS.EXE
   • %Диск%:\ghost.bat
   • %все папки%\%текущее имя папки%.exe



Создает собственную копию с именем файла из списка
– Кому: %WINDIR%\\system\ С одним из следующих имен:
   • %Шестнадцатиричное число%.com

– Кому: %WINDIR%\fonts\ С одним из следующих имен:
   • %Шестнадцатиричное число%.com

– Кому: %WINDIR%\\temp\ С одним из следующих имен:
   • %Шестнадцатиричное число%.com

– Кому: %WINDIR%\help\ С одним из следующих имен:
   • \%Шестнадцатиричное число%.com




Создаются следующие файлы:

– Незараженный файл:
   • %все папки%\desktop.ini

– A:\NetHood.htm Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: VBS/Zapchast.B

%Диск%:\NetHood.htm Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: VBS/Zapchast.B

%все папки%\folder.htt Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: VBS/Zapchast.B

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%Шестнадцатиричное число%.com
   • TempCom = %WINDIR%\fonts\%Шестнадцатиричное число%.com
   • TempCom = %WINDIR%\\temp\%Шестнадцатиричное число%.com
   • TempCom = %WINDIR%\help\%Шестнадцатиричное число%.com



Удаляется значение следующего ключа реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Прежнее значение:
   • fullpath = %Настройки пользователя%
   Новое значение:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • HideFileExt = %Настройки пользователя%
   • Hidden = %Настройки пользователя%
   Новое значение:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Следующее:
   • %текст на китайском языке%



Тело:
Тело письма имеет следующий вид:
   • %текст на китайском языке% Document.exe %текст на китайском языке%


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Document.exe

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Andrei Gherman в(о) пятница, 21 сентября 2007 г.
Описание обновил Andrei Gherman в(о) пятница, 21 сентября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.