Worm/Zhelatin.ZI - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Zhelatin.ZI
Обнаружен:	22/07/2008
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Низкий
Файл статистики:	Нет
Размер файла:	90624 байт.
Контрольная сумма MD5:	a9d0ed60fec2530a497554de364d5693
Версия IVDF:	7.00.05.148

Общее Методы распространения:
   • Email
   • Локальная сеть

Псевдонимы (аliases):
   • Kaspersky: Email-Worm.Win32.Zhelatin.aep
   • Bitdefender: Dropped:Rootkit.Agent.AITJ

Операционные системы:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы

Файлы Создаются следующие файлы:

– %WINDIR%\glok+serv.config Файл является безвредным текстовым файлом со следующим содержимым:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400


– %WINDIR%\glok+22bd-6274.sys После полного завершения процесса создания он запускается на выполнение. Определен как: TR/Rootkit.Gen

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\System\ControlSet001\Services\glok+b89-6227
• %WINDIR%\glok+b89-6227.sys

Отправка Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Скрывает следующее:
– Собственные файлы
– Собственные ключи реестра

– Следующие файлы:
   • glok+22bd-6274.sys
   • glok+serv.config

– Следующие ключи реестра:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000

Используемый метод:
    • Невидимо из Interrupt Descriptor Table (IDT)

Внедряется в следующие API-функции:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Viktor Graeber Tue, 22 Jul 2008 08:33 (GMT+1)
Описание обновлено: Viktor Graeber Tue, 22 Jul 2008 10:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back