English
Deutsch
Français
Español
Italiano
Начальная страница
Информация о вирусах
Поиск
Начальная страница
Поддержка
Решения
Продукция
Файлы для загрузки
Информация о вирусах
Статистика
Phishing Worldmap
VDF История
Клиент
Загрузить файл
Новости безопасности
В список опасных вирусов
Компания
Пресса
Партнеры
Рассылка
TechBlog
Worm/Womble.D - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
Как бы Вы оценили эту информацию?
Бесполезная
Замечательно
Имя:
Worm/Womble.D
Обнаружен:
12/09/2006
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
От низкого до среднего
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
83.456 байт.
Контрольная сумма MD5:
a7eed18c21897e50bbe167b8f438b9af
Версия VDF:
6.35.01.212
Версия IVDF:
6.35.01.216
Общее
Методы распространения:
• Email
• Локальная сеть
Псевдонимы (аliases):
• Symantec: W32.Womble.A@mm
• Mcafee: W32/Womble@MM
• Kaspersky: Email-Worm.Win32.Womble.d
• F-Secure: Email-Worm.Win32.Womble.d
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносные файлы
• Использует собственный почтовый движок
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайные слова%
.exe
Создаются следующие директории:
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\dvd_info
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\free
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\h_core
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\l_this
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\lunch
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\my_staff
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_mp3
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_video
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\photo
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\sh_docs
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\take_it
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\video
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\xxx
Создает собственные копии с именами файлов из списков
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\dvd_info С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\free С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\h_core С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\l_this С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\lunch С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\my_staff С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_mp3 С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_video С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\photo С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\sh_docs С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\take_it С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\video С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому:
%home%
\Local Settings\Application Data\Microsoft\WinTools\xxx С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Кому: c:\system32\ С одним из следующих имен:
• winupdate.exe
• netupdate.exe
• winlog.exe
• winlogin.exe
– Кому:
%сетевая папка общего доступа%
С одним из следующих имен:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
Попытка загрузки следующих файлов:
– Следующий URL:
• support.365soft.info/current/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
– Следующий URL:
• support.365soft.info/current/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
– Следующий URL:
• support.365soft.info/current/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• windows_startup=
%SYSDIR%
\
%случайные слова%
.exe
Добавляются следующие ключи реестра:
– [HKLM\SOFTWARE\WinUpdate]
• "Version"=dword:00000004
– [HKLM\SOFTWARE\WinUpload]
• "bot1.exe"=dword:00000002
• "bot2.exe"=dword:00000002
• "l.exe"=dword:00000002
• "t169.exe"=dword:00000002
– [HKCU\Software\Microsoft\WAB\WAB4]
• "FirstRun"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion]
• "wmf.1.1"=dword:01c6db12
• "wmf.1.2"=dword:e8fc9740
Изменяются следующие ключи реестра:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Прежнее значение:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Новое значение:
• "Shell"="Explorer.exe
%знаки пробела%
%SYSDIR%
\
%случайные слова%
.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe
%знаки пробела%
,
%SYSDIR%
\
%случайные слова%
.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя - учетная запись пользователя Outlook
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Тема:
Одно из следующих:
• !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
Re:info; RE: pic; read this; Robert; Sex
Тело:
Тело письма имеет следующий вид:
• Hi !!!
%случайная буквенная комбинация%
%случайная буквенная комбинация%
--
Best Regards
Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:
– Начинается одним из следующих:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
Завершается одним из следующих:
• .jpg
• .doc
• .txt
Иногда содержит в конце одну из следующих строк:
• .pif
• .exe
• .zip
• .pif.zip
• .exe.zip
Прикрепленный файл является копией вредоносной программы:
Письмо могло бы выглядеть следующим образом:
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Эксплойт:
Используются следующие бреши в безопасности:
–
MS04-011
(Уязвимость LSASS)
–
MS05-039
(уязвимость в Plug and Play)
Backdoor
Устанавливает соединение с сервером
Все последующие:
• support.365soft.info/current/**********
• support.365soft.info/current/**********
• support.software602.com/current/**********
• support.software602.com/current/**********
• anyproxy.net/current/**********
• anyproxy.net/current/**********
• support.enviroweb.org/current/**********
• support.enviroweb.org/current/**********
• support.nikontech.com/current/**********
• support.nikontech.com/current/**********
• mymail.100hotmail.com/current/**********
• mymail.100hotmail.com/current/**********
• server1.mymail.ph/current/**********
• server1.mymail.ph/current/**********
• mymail.bokee.com/current/**********
• mymail.bokee.com/current/**********
• mail.96520.org/current/**********
• mail.96520.org/current/**********
• 211.184.55.7/current/**********
• 211.184.55.7/current/**********
• update.snowsoft.co.kr/current/**********
• update.snowsoft.co.kr/current/**********
• update.wwwmail.org/current/**********
• update.wwwmail.org/current/**********
• update.mediaroz.com/current/**********
• update.mediaroz.com/current/**********
• update.co.tv/current/**********
• update.co.tv/current/**********
• www.3btasarim.com/current/**********
• www.3btasarim.com/current/**********
• baishui.info/current/**********
• baishui.info/current/**********
• jiji.2tw.info/current/**********
• jiji.2tw.info/current/**********
В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Текущий malware статус.
Кража
Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts
Разное
Интернет соединение:
Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:
• *.GTLD-SERVERS.net
• *.lan.tjhsst.edu
Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
• www.sun.com/index.html
Мьютекс:
Создается мьютекс:
• wmf.mtx.4
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Adriana Popa Fri, 15 Sep 2006 14:33 (GMT+1)
Описание обновлено: Adriana Popa Mon, 18 Sep 2006 16:11 (GMT+1)
»
О вредоносном ПО
»
О фишинге
»
В список опасных вирусов
« назад
Распечатать эту страницу
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Просто получать новости от Avira по ленте
Распознает и удаляет определенное вредоносное ПО и его варианты.
Загрузка здесь
Предупреждение о вирусах
- вставить в Ваш сайт
© 2009 Avira GmbH
Авторское право
|
Защита данных
|
Карта сайта
|
Обратная связь
|
О сайте
|
FAQ
|
Контакт
Информация о вирусах
Распечатать эту страницу
.gif)
