|
Пресс-релизы
|
|
19 февраля 2004 г
"Антивирусная лаборатория ЦЕБИТ" сообщает о новой эпидемии
Уровень риска - высокий! По классификации различных компаний данный червь носит названия:
W32/Netsky.b@MM [McAfee],
W32/Netsky.B.worm [Panda],
WORM_NETSKY.B [Trend Micro],
Moodown.B [F-Secure],
I-Worm.Moodown.b [Kaspersky]
Описание:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь представляет собой PE EXE-файл, размером около 21KB. Червь упакован UPX, размер распакованного файла около 40KB.
Инсталляция
После запуска червь выводит на экран ложное сообщение об ошибке "The file could not be opened!":
Копирует себя в каталог Windows, под именем "services.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"service" = "%windir%services.exe -serv"
Также червь создает уникальный идентификатор своего присутствия в памяти "AdmSkynetJklS003".
Червь создает множество своих копий во всех подкаталогах, содержащих в своем названии слово "Share" или "Sharing" на всех доступных дисках от C до Z с именами выбираемыми из списка:
winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
а также копирует несколько своих копий в формате ZIP c именами из списка:
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
Размножение
Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.
Зараженные письма формируются из произвольных комбинаций:
Тема:
Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Текст письма:
AnythingOk?
anything ok?
what does it mean?
ok
i`m waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that`s funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
Удаление червя Mydoom
Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]
а также удаляет ключ:
[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
Прочее
Червь удаляет из системного реестра Windows ключи "KasperskyAv" и "system.".
Внимание всем участнакам выставки EnterEX 2004!
«Антивирусная лаборатория ЦЕБИТ» является Антивирусным партнером выставки.
Все участники выставки могут получить бесплатно утилиты, обратившись к сотрудникам нашей компании непосредственно не выставке ( стенд №D 442) или на нашем сайте www.virusam.net
версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
18 октября 2013 г
• Опасная пропорция: 2/3 пользователей и их финансовые операции в Сети под угрозой
17 октября 2013 г
• В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
• Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays
16 октября 2013 г
• Украинские предприниматели выходят на международный рынок с помощью Windows Azure
• Бионические разработки Festo – инвестиции в будущее
15 октября 2013 г
• Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры
11 октября 2013 г
• Відбувся 4-й Український форум з управління Інтернетом IGF-UA
• В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
• Графические процессоры ускоряют пошив плаща-невидимки
• Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
|