20.12.99
I-Worm.NewApt: Многоликий червь
"Лаборатория Касперского" предупреждает компьютерных пользователей об обнаружении нового червя под названием I-Worm.NewApt. Червь обнаружен в "диком виде" во многих странах Европы, Америки и Азии. Мы рекомендуем всем пользователям AVP установить очередное еженедельное обновление антивирусной базы.
Техническое описание
I-Worm.NewApt является вредоносной программой типа "червь", распространяющейся через сеть Интернет. "Чеврь" представляет собой исполняемый EXE файл Windows длиной около 70Кб. Он распространяется в сети посредством сообщений электронной почты, содержащих зараженный вложенный файл. Название вложенного зараженного файла выбирается генератором случайных чисел из следующих 26 вариантов:
panther.exe
gadget.exe
irngiant.exe
casper.exe
fborfw.exe
cupid2.exe
party.exe
bboy.exe
baby.exe
goal.exe
theobbq.exe
panthr.exe
chestburst.exe farter.exe
boss.exe
monica.exe
saddam.exe
party.exe
hog.exe
goal1.exe
pirate.exe
video.exe
copier.exe
cooler1.exe
cooler3.exe
g-zilla.exe
Рассылаемые сообщения имеют заголовок (Subject) "Just for your eyes". В теле сообщения содержится следующий не-HTML текст:
he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff
или текст в формате HTML
Hypercool Happy New Year 2000 funny programs and animations...
We attached our recent animation from this site in our mail! Check it out!
В случае, если вложенный файл запущен, "червь" получает управление и устанавливает себя в систему. Для этого он копирует себя под своим текущим именем (из приведенного выше списка) в
директорию Windows и прописывается в системном реестре в секции "Run=".
SOFTWARE \Microsoft \Windows \CurrentVersion \Run "tpawen" = "C:\WIN\PANTHER.EXE /x"
Необходимо еще раз заметить, что имя "червя" не является постоянным и может меняться в соответствии с приведенным выше списком.
Для сокрытия своей деятельности "червь" показывает на экране следующее сообщение:
The dinamic link library giface.dll could not be found in specified path:
C:\WINDOWS\SYSTEM;C:\WINDOWS;C:\WINDOWS\COMMAND;
"Червь" также создает и инициализирует для своих нужд следующие ключи системного реестра:
HKEY_CURRENT_USER \Software \Microsoft \Windows
itn =
cat =
cd =
lk =
lms =
mda =
mde =
Затем "червь" регистрирует себя в качестве "сервиса" (он становится невидимым в списке активных задач) и остается в памяти в виде
скрытого приложения. Основная подпрограмма "червя" (всего их две, работающих параллельно в фоновом режиме) периодически просматривает установленные логические диски в поисках файлов, имеющих отношение к Интернет (MS Mail, Outlook Express, Netscape Navigator и др), открывает их, получает из них найденные адреса электронной почты и рассылает по ним зараженные сообщения.
Время действия "червя": Начиная с 12-го июня 2000 года "червь" убирает строку "Run=" из системного реестра и прекращает внедряться в систему. Это значит, что его время действия ограничено этой датой. Однако, и в этом случае он может представлять собой потенциальную опасность, потому как в системе остаются его копии, которые могут активизироваться в случае изменения системной даты.
Проявления: "Червь" начинает проявляться начиная с 00:00 26-го декабря по текущим системному времени и дате. Каждые три секунды он пытается присоединиться к удаленному компьютеры в компании Microsoft - стандартная DoS атака (Deny of
Service).
Независимо от системной даты "червь" пытается набирать телефонные номера, случайно выбирая их из списка, содержащегося внутри его.
Источник: Лаборатория Касперского
[Последние] [Архив]
© Информсвязь, 1999