Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 10.04.2010, 16:48

Email-Worm.Win32. Agent.li

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Имеет размер 458752 байта. Написан на С++.
Содержание зараженных писем.
Адрес отправителя
e-cards@hallmark.com
Заголовок
You have received A Hallmark E-Card!
Текст
You have received a Hallmark E-Card from your friend. To see it, check the attachment. There's something special about that E-Card feeling. We invite you to make a friend's day and send one. Hope to see you soon, Your friends at Hallmark
Адрес отправителя
invitations@twitter.com
Заголовок
Your friend invited you to twitter!
Текст
Twitter is a service for friends, family, and co-workers to
communicate and stay connected through the exchange of quick, frequent
answers to one simple question:
To join or to see who invited you, check the attachment.
Адрес отправителя
invitations@hi5.com
Заголовок
Jessica would like to be your friend on hi5!
Текст
Jessica would like to be your friend on hi5!
I set up a hi5 profile and I want to add you as a friend so we can share pictures
and start building our network. First see your invitation card I attached!
Once you join, you will have a chance to create a profile, share pictures,
and find friends.
Адрес отправителя
order-update@amazon.com
Заголовок
Shipping update for your Amazon.com order 254-78546325-658742
Текст
Please check the attachment and confirm your shipping details.
Please also check the special coupon we have attached, it
gives you 40% discount from all the products.
Инсталляция

После запуска червь выполняет следующие действия:
Копирует себя по пути
%System%\NVSVC16.EXE
Создает файл
%System%\NV-UPDATE1.EXE
(239104 байта; детектируется Антивирусом Касперского как "Email-Worm.Win32.Agent.li")
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующие ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Java updater" = "%System%\nv-update1.exe"
"Windows Management" = "%System%\nvsvc16.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run]
"Java updater" = "%System%\nv-update1.exe"
Определяет IP- адрес пользователя, загружая файл:
http://whatismyip.com/automation/n09230945.asp
Отключает контроль учетных записей в Windows:
[HKLM\Software\Microsoft\Security Center]
"UACDisableNotify" = 1
Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
"%System%\NVSVC16.EXE" = "%System%\NVSVC16.EXE
:*: Enabled:Explorer"
Отключает восстановление системы:
[HKLM\Software\Microsoft\Windows
NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

Ищет среди процессов запущенные службы антивирусов и закрывает их.
Распространение

Червь ищет на диске файлы с расширениями wab, txt, htm, htmb, asp, php, pl, sht, dbx, adb, tbb и рассылает себя по всем найденным в них адресах электронной почты.

Для отправки почты червь использует собственный SMTP-сервер.

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски по пути:
< имя зараженного раздела >:\RECYCLER\%CLISD%\REDMOND.EXE_
Вместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Для внедрения в P2P-сеть червь копирует свое тело в каталоги обмена файлами, которые расположен на локальной машине. Всю остальную работу по распространению червя P2P-клиенты берут на себя - при поиске файлов в сети он сообщает удаленным пользователям о данном файле и предоставляет весь необходимый сервис для скачивания файла с зараженного компьютера. Копирует себя в папки:
%Program Files%\EMULE\INCOMING
%Program Files%\GROKSTER\MY GROKSTER
%Program Files%\MORPHEUS\MY SHARED FOLDER
%Program Files%\WINMX\SHARED
%Program Files%\LIMEWARE\SHARED
%Program Files%\TESLA\FILES
%Program Files%\ICQ\SHARED FILES
C:\Downloads\
под различными именами (в каждой папке более 50 копий с разными именами)
Деструктивная активность

Программа соединяется с сервером:
cisco.webhop.net
и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:
Перехват нажатых пользователем клавиш.
Поиск пользовательской информации, относящейся к следующим программам:
Mozilla Firefox
Trillian
Miranda
Pidgin
Gaim
Internet Explorer
Скачивать и запускать вредоносные программы
Собирать информацию о системе и сетевых соединениях.
Собирать скриншоты и изображение с веб-камеры. Вся собранная информация записывается в файл
"%windir%\oraclent.dll"

10.04.2010, 16:48	#3
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 47	Email-Worm.Win32. Agent.li Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Имеет размер 458752 байта. Написан на С++. Содержание зараженных писем. Адрес отправителя e-cards@hallmark.com Заголовок You have received A Hallmark E-Card! Текст You have received a Hallmark E-Card from your friend. To see it, check the attachment. There's something special about that E-Card feeling. We invite you to make a friend's day and send one. Hope to see you soon, Your friends at Hallmark Адрес отправителя invitations@twitter.com Заголовок Your friend invited you to twitter! Текст Twitter is a service for friends, family, and co-workers to communicate and stay connected through the exchange of quick, frequent answers to one simple question: To join or to see who invited you, check the attachment. Адрес отправителя invitations@hi5.com Заголовок Jessica would like to be your friend on hi5! Текст Jessica would like to be your friend on hi5! I set up a hi5 profile and I want to add you as a friend so we can share pictures and start building our network. First see your invitation card I attached! Once you join, you will have a chance to create a profile, share pictures, and find friends. Адрес отправителя order-update@amazon.com Заголовок Shipping update for your Amazon.com order 254-78546325-658742 Текст Please check the attachment and confirm your shipping details. Please also check the special coupon we have attached, it gives you 40% discount from all the products. Инсталляция После запуска червь выполняет следующие действия: Копирует себя по пути %System%\NVSVC16.EXE Создает файл %System%\NV-UPDATE1.EXE (239104 байта; детектируется Антивирусом Касперского как "Email-Worm.Win32.Agent.li") Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующие ключи системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Java updater" = "%System%\nv-update1.exe" "Windows Management" = "%System%\nvsvc16.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run] "Java updater" = "%System%\nv-update1.exe" Определяет IP- адрес пользователя, загружая файл: http://whatismyip.com/automation/n09230945.asp Отключает контроль учетных записей в Windows: [HKLM\Software\Microsoft\Security Center] "UACDisableNotify" = 1 Добавляет свой исполняемый файл в список исключений в Windows XP Firewall: [HKLM\System\CurrentControlSet\Services\SharedAcces s\ Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List] "%System%\NVSVC16.EXE" = "%System%\NVSVC16.EXE :*: Enabled:Explorer" Отключает восстановление системы: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 Ищет среди процессов запущенные службы антивирусов и закрывает их. Распространение Червь ищет на диске файлы с расширениями wab, txt, htm, htmb, asp, php, pl, sht, dbx, adb, tbb и рассылает себя по всем найденным в них адресах электронной почты. Для отправки почты червь использует собственный SMTP-сервер. Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски по пути: < имя зараженного раздела >:\RECYCLER\%CLISD%\REDMOND.EXE_ Вместе со своим исполняемым файлом червь помещает файл: < имя зараженного раздела >:\autorun.inf что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Для внедрения в P2P-сеть червь копирует свое тело в каталоги обмена файлами, которые расположен на локальной машине. Всю остальную работу по распространению червя P2P-клиенты берут на себя - при поиске файлов в сети он сообщает удаленным пользователям о данном файле и предоставляет весь необходимый сервис для скачивания файла с зараженного компьютера. Копирует себя в папки: %Program Files%\EMULE\INCOMING %Program Files%\GROKSTER\MY GROKSTER %Program Files%\MORPHEUS\MY SHARED FOLDER %Program Files%\WINMX\SHARED %Program Files%\LIMEWARE\SHARED %Program Files%\TESLA\FILES %Program Files%\ICQ\SHARED FILES C:\Downloads\ под различными именами (в каждой папке более 50 копий с разными именами) Деструктивная активность Программа соединяется с сервером: cisco.webhop.net и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью: Перехват нажатых пользователем клавиш. Поиск пользовательской информации, относящейся к следующим программам: Mozilla Firefox Trillian Miranda Pidgin Gaim Internet Explorer Скачивать и запускать вредоносные программы Собирать информацию о системе и сетевых соединениях. Собирать скриншоты и изображение с веб-камеры. Вся собранная информация записывается в файл "%windir%\oraclent.dll" __________________