Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 22.04.2010, 14:55

Email-Worm.Win32. Iksmas.gey

20 апреля, 2010

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Также программа создает следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
RList = "<random character>"
[HKCU\Software\Microsoft\Windows\CurrentVersion]
MyID = "<random character>"

Деструктивная активность

При запуске программа выполняет поиск адресов электронный почты на компьютере, найденные адреса программа в зашифрованной форме отсылает на адреса злоумышленника при помощи HTTP POST запроса. В ответ на данный запрос программа также может получить команду на скачивание другого вредоносного программного обеспечения.

Далее программа рассылает по всем найденным и полученным от злоумышленника электронным почтовым адресам письма, содержащие ссылку на адрес
http://adoresong.com/index.php
на котором предположительно раньше находилась вредоносная программа.

Также программа обновляет свою версию, скачивая её с электронного адреса
http://adoresong.com/index.php

22.04.2010, 14:55	#19
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 47	Email-Worm.Win32. Iksmas.gey 20 апреля, 2010 Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте. Инсталляция Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PromoReg" = "<filepath>" Где <filepath> - путь к файлу с вредоносной программой. Также программа создает следующие ключи реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion] RList = "<random character>" [HKCU\Software\Microsoft\Windows\CurrentVersion] MyID = "<random character>" Деструктивная активность При запуске программа выполняет поиск адресов электронный почты на компьютере, найденные адреса программа в зашифрованной форме отсылает на адреса злоумышленника при помощи HTTP POST запроса. В ответ на данный запрос программа также может получить команду на скачивание другого вредоносного программного обеспечения. Далее программа рассылает по всем найденным и полученным от злоумышленника электронным почтовым адресам письма, содержащие ссылку на адрес http://adoresong.com/index.php на котором предположительно раньше находилась вредоносная программа. Также программа обновляет свою версию, скачивая её с электронного адреса http://adoresong.com/index.php __________________