Другие названия
Trojan-Downloader.Win32.VB.ft («Лаборатория Касперского») также известен как: Trojan.DownLoader.1038 (Doctor Web), Troj/Abox-A (Sophos), TrojanDownloader:Win32/ABoxins.A (RAV), TROJ_ABOX.A (Trend Micro), TR/Dldr.VB.FT (H+BEDV), Downloader.VB.5.J (Grisoft), Trojan.Downloader.VB.FT (SOFTWIN), Trojan.Downloader.VB-11 (ClamAV), Trj/Downloader.gen (Panda) Детектирование добавлено 18 ноя 2004
Описание опубликовано 23 май 2005
Поведение Trojan-Downloader, троянский загрузчик


Технические детали
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), имеет размер примерно 32 КБ, написана на MS Visual Basic.

После запуска троянец создает файл ABox.ftp в следующем каталоге:

%Windir%\Temp\ABox.ftp
Троянец пытается скачать из интернета файл ABox.exe, сохранить его в корневом каталоге Windows и запустить его на зараженном компьютере. Данный файл является рекламной программой not-a-virus:AdWare.AdBox.a.

Другие названия
P2P-Worm.Win32.Alcan.a («Лаборатория Касперского») также известен как: W32/Alcan.worm!p2p (McAfee), W32.Alcra.A (Symantec), Win32.HLLW.Generic.145 (Doctor Web), WORM_ALCAN.A (Trend Micro), Worm/Alcan.A.1 (H+BEDV), Worm/Alcan.A (Grisoft), Win32.Worm.Alcan.A (SOFTWIN), Trojan.Spybot-123 (ClamAV), W32/Sdbot.DDP.worm (Panda), Win32/Alcan.A (Eset) Детектирование добавлено 10 май 2005
Описание опубликовано 23 май 2005
Поведение P2P-Worm, червь для файлообменных сетей
Технические детали


Вирус-червь, распространяющийся через интернет по сетям файлообмена. Содержит в себе бэкдор-функцию. Червь является приложением Windows (PE EXE-файл) и имеет размер около 423 КБ.

Инсталляция
После запуска червь выдает окно следующего содержания:

После чего появляется данная ошибка:

При инсталляции червь копирует себя со следующими именами в корень диска C: и в каталог %Program Files%:

%Program files%\MsConfigs\MsConfigs.exe
C:\z.tmp
Также в корне диска C: червь создает свою копию в архиве с именем temp.zip:

C:\temp.zip
Данный архив содержит копию червя с именем setup.exe.

После чего в системном каталоге Windows червь создает свой бэкдор-компонент с именем p2pnetwork.exe:

%System%\p2pnetwork.exe
Также в системном каталоге Windows червь создает следующие файлы:

%System%\bszip.dll
%System%\cmd.com
%System%\n etstat.com
%System%\ping.com
%System%\regedit.co m
%System%\taskkill.com
%System%\tasklist.com
% System%\tracert.com
Далее червь регистрирует свои файлы в ключах автозагрузки системного реестра:

[HKCU\Software\Microsoft\Ole]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run ]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services]
[HKCU\System\CurrentControlSet\Control\Lsa]
[HKLM\Software\Microsoft\Ole]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
[HKLM\System\CurrentControlSet\Control\Lsa]
"p2pnetwork"="p2pnetwork.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
"MsConfigs"="%Program files%\MsConfigs\MsConfigs.exe"
Размножение через P2P
Червь проверяет наличие установленного на машине P2P-клиента и копирует себя в следующие каталоги общего доступа:

\Ares\My Shared Folder
\Bearshare\Shared
\Edonkey2000\Incoming
\ eMule\Incoming
\gnucleus\downloads
\grokster\my grokster
\Kazaa\My Shared Folder
\Limewire\Shared
\morpheus\My Shared Folder
\rapigator\share
\shareaza\downloads
\sh ared
My Shared Folder
После чего зараженный файл будет доступен другим пользователям клиента P2P.

Удаленное администрирование
Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Другие названия
Worm.Win32.Eyeveg.b («Лаборатория Касперского») также известен как: Uploader-H (McAfee), W32.Lorac (Symantec), Win32.HLLW.Eyeveg (Doctor Web), Troj/Mimail-E (Sophos), Win32/HLLW.Eyeveg.A (RAV), WORM_LORAC.A (Trend Micro), W32/Eyeveg.C (FRISK), Win32:Trojan-gen. (ALWIL), Worm/Lorac.B (Grisoft), Win32.Eyeveg.B@mm (SOFTWIN), Worm Generic (Panda), Win32/Eyeveg.C (Eset) Описание опубликовано 23 май 2005
Поведение Net-Worm, интернет-червь



Технические детали
Вредоносная программа, написанная на Visual C++. Упакована UPX. Размер файла — 41480 байт.

Инсталляция
Копирует себя в системную директорию под произвольным шестибуквенным именем. Добавляет запись в реестр для автозагрузки:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
Скрывает свой процесс на Win9x-системах.

Вредные действия
Собирает различные сведения о системе (данные об общих папках (shares), файлах, пароли автосохранения Internet Explorer, пароли от электронной почты, прокси-сервер и др.) и отсылает их при помощи http POST запроса на адре www.melan******oll.biz/u2.php.

Распространение по сети
Может копировать себя в открытые общие папки.

Другие названия
Net-Worm.Win32.Mytob.q («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.U@mm (Symantec), Win32.HLLM.MyDoom.21 (Doctor Web), Win32/Mytob.S@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Mytob.Z (H+BEDV), W32/Mytob.AF@mm (FRISK), Win32.Worm.Mytob.Q (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.W.worm (Panda), Win32/Mytob.U (Eset) Детектирование добавлено 08 апр 2005
Описание опубликовано 23 май 2005
Поведение Net-Worm, интернет-червь
Технические детали


Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 51 КБ, упакован UPack. Размер распакованного файла около 241 KБ. Написан на Visual C++.

Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) и Microsoft Windows DCOM RPС (MS03-026).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь основан на исходных кодах Email-Worm.Win32.Mydoom.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция
После запуска червь копирует себя в системный каталог Windows со следующими именами:

%System%\nethell.exe
%System%\taskgmr.exe
Такж е червь создает свои копии в корне диска C: со следующими именами:

C:\funny_pic.scr
C:\my_photo2005.scr
C:\see_th is!!.scr
Затем червь регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\OLE]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run ]
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
[HKLM\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
"WINTASK"="taskgmr.exe"
Червь создает уникальный идентификатор «H-E-L-L-B-O-T» для определения своего присутствия в системе.

Распространение через интернет
Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код.

Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
dbx
htm
php
pl
sht
tbb
wab


При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
cer tific
contact
example
feste
fido
foo.
fsf.
g nu
gold-certs
google
gov.
help
iana
ibm.com
i crosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noon e
not
nothing
ntivi
page
panda
pgp
postmast er
privacy
rating
rfc-ed
ripe.
root
ruslis
s amples
secur
sendmail
service
site
soft
some body
someone
sopho
submit
support
syma
tanfo rd.e
the.bat
unix
usenet
utgers.ed
webmaster
y ou
your


При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:
Имя отправителя включает в себя одну из следующих строк:

adam
alex
andrew
anna
bill
bob
brenda
bre nt
brian
britney
bush
claudia
dan
dave
davi d
debby
fred
george
helen
jack
james
jane
j erry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
lolita
m admax
maria
mary
matt
michael
mike
peter
ra y
robert
sam
sandra
serg
smith
stan
steve
t ed
tom


Тема письма:
Выбирается из следующего списка:

Error
Good Day
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Текст письма:
Выбирается из следующего списка:

Here are your banks documents.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
The original message was included as an attachments.
Имя файла-вложения:
Выбирается из следующего списка:

body
data
doc
document
file
message
readme
test
text
Вложения могут иметь одно из следующих расширений:

bat
cmd
doc
exe
htm
pif
scr
tmp
txt
zip
Распространение через локальные сети
Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта «Administrator». При переборе паролей использует следующую таблицу:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
%
0
00
000
0000
00000
000000
00000000
0 07
007
0wn3d
0wned
1
110
111
111
111111
1 1111111
11111111
12
121
121
121212
123
1231 23
123321
1234
12345
123456
1234567
12345678
123456789
12346
123467
1234678
12346789
123 467890
1234qwer
123abc
123asd
123qwe
2002
20 03
2600
54321
54321
54321
654321
654321
aaa
abc
abc123
abcd
ACCESS
access
access
accou nt
accounting
accounts
accounts
adm
admin
AD MIN
Admin
admin123
Administrador
Administrateu r
administrator
ADMINISTRATOR
Administrator
af ro
asd
backup
barbara
bill
blank
brian
bruc e
capitol
changeme
cisco
CISCO
Cisco
compaq
c ontrol
ctx
data
database
databasepass
databas epassword
db1
db1234
dbpass
dbpassword
defaul t
dell
domain
domainpass
domainpassword
excha nge
exchnge
fish
frank
fred
fred
freddy
fuc k
george
glen
god
guest
GUEST
Guest
headoff ice
heaven
hell
home
homeuser
hq
ian
internet
internet
intranet
joan
joe
j ohn
kate
katie
lan
lee
login
loginpass
luke
mail
main
mary
mass
mike
neil
nokia
none
n ull
oem
oeminstall
oemuser
office
orange
out look
owa
pass
pass123
pass1234
passphra
pass wd
password
PASSWORD
Password
password1
passw ord123
peter
peter
pink
qaz
qwe
qwerty
ron
r oot
Root
ROOT
sa
sage
sam
server
sex
sieme ns
spencer
sql
sqlpass
staff
student
student 1
sue
susan
system
teacher
technical
test
t urnip
unknown
Unknown
user
USER
User
user
u ser1
user1
user1
usermane
username
userpasswo rd
userpassword
web
win
win2000
win2k
win98
w indose
windows
windows2k
windows95
windows98
w indowsME
WindowsXP
windowz
windoze
windoze2k
w indoze95
windoze98
windozeME
windozexp
wine
w ing
winnt
winpass
winpass
winston
winxp
wire d
www
xp
xp
xx
xxx
xxxx
xxxxx
xxxxxx
xxxx xxx
xxxxxxxx
xxxxxxxxx
yellow


При удачном соединении червь копирует себя на удаленную машину и запускается на ней на исполнение.

Удаленное администрирование
Mytob.q открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Прочее
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com

Другие названия
Worm.Win32.Eyeveg.g («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.k (McAfee), W32.Lanieca.B@mm (Symantec), Win32.HLLW.Eyeveg.3 (Doctor Web), W32/Bugbear-B (Sophos), WORM_WURMARK.J (Trend Micro), Worm/Eyeveg.g (H+BEDV), W32/Eyeveg.J (FRISK), Worm/Eyeveg.H (Grisoft), Win32.Wurmark.K@mm (SOFTWIN), Trojan.W32.PWS.Prostor.A (ClamAV), Win32/Eyeveg.K (Eset) Детектирование добавлено 23 май 2005
Описание опубликовано 23 май 2005
Поведение Net-Worm, интернет-червь


Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вредоносная программа написана на Visual C++. Состоит из двух файлов — исполняемого EXE и динамической библиотеки DLL, которая хранится в EXE-файле в виде ресурса.

По своим функциям Eyeveg.g полностью идентичен варианту Eyeveg.f.

Отличается от него лишь размером исполняемого файла и версией программы упаковщика.

Исполняемый файл Eyeveg.g имеет размер 78336 байт.

Другие названия
Backdoor.Win32.Haxdoor.cn («Лаборатория Касперского») также известен как: BackDoor-BAC.gen.b (McAfee), Backdoor.Haxdoor.D (Symantec), Bck/Haxdoor.AW (Panda) Детектирование добавлено 23 мар 2005
Описание опубликовано 20 май 2005
Поведение Backdoor, троянская программа удаленного администрирования


Технические детали
Программа упакована FSG, размер в упакованном виде — около 50 КБ. Скрывает свое пребывание в системе.

Инсталляция
После запуска вирус переносит свой файл в системную директорию Windows под именем mszx23.exe. Далее на машину-жертву, в системную директорию, устанавливаются остальные модули программы:

cz.dll
drct16.dll
hz.sys
vdmt16.sys
winlow.s ys
wz.sys
Модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть ни на диске, ни в процессах при загруженной операционной системе.

Все файлы за исключением cz.dll, являющегося основным модулем бэкдора, устанавливаются только на операционных системах семейства Windows NT.

Программа регистрирует себя в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"="drct16.dll"
"Startup"="MeMessager"
"Impersonate"="1"
"Asynchronous"="1"
"MaxWait"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_VDMT16\0000\Control]
"ActiveService"="vdmt16"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINLOW\0000\Control]
"ActiveService"="winlow"

В том числе в списке сервисов под именами VIRTwin и SCNDmem. Соответствующие ключи реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\v dmt16]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w inlow]
Действия
Открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации и произведения других несанкционированных действий.

<Non-existant Process>:636 TCP win2k_105:10244 win2k_105:0 LISTENING
<Non-existant Process>:636 TCP win2k_105:17981 win2k_105:0 LISTENING
<Non-existant Process>:636 TCP win2k_105:23065 win2k_105:0 LISTENING
Сразу после запуска отправляет автору на заданный email-адрес электронное письмо с краткой системной информацией и IP-адресом зараженной машины.

Имеет в своем арсенале большой набор команд для удаленного администрирования. Может сохраняет логи нажатий клавиш и списки открытых окон. Сохраняет собранную информацию в файлах, находящихся в системной директории и так же сокрытых от системных вызовов операционной системы, как и исполняемые модули:

fltr.a3d
i.a3d
klogini.dll
p2.ini
redir.a3d
tnfl.a3d

Другие названия
Trojan-Clicker.Win32.Small.a («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Small.a («Лаборатория Касперского»), AdClicker-S (McAfee), Trojan Horse (Symantec), BackDoor.Teenco (Doctor Web), Troj/AdClick-S (Sophos), TrojanClicker:Win32/Small.A (RAV), TROJ_SMALL.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Clicker.Small.A (SOFTWIN), Trojan Horse (Panda), Win32/TrojanClicker.Small.A (Eset) Описание опубликовано 20 май 2005
Поведение Trojan-Clicker, интернет-кликер



Технические детали
Троянская программа. Создана для фальсификации статистики посещаемости сайт www.teencollegeusa.com. Для этого с периодичность один раз в секунду происходит обращение по адресу из списка (адрес выбирается по случайному принципу):
www.teencollegeusa.com/jen/count.php www.teencollegeusa.com/xxx/count.php
При этом, все запросы к данным адресам, приписываются http://google.com/, т.е. популярной поисковой системе.

Для предотвращения повторного запуска, создает в системе объект синхронизации (Mutex) с именем «MatrixMutex».

Создает ключ реестра для автозапуска:

[SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MatrixScreenSaver"="<path_to_exe>"
Содержит строки:

HTTP/1.1
Referer: http://google.com/
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt)
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Имеет размер около 3 КБ (упакована UPX), и 8 КБ в распакованном виде. Других вредоносных действий не производит.

Другие названия
Trojan-Spy.Win32.Lydra.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Lydra.a («Лаборатория Касперского»), BackDoor-CFJ (McAfee), BackDoor.Voron (Doctor Web), Troj/Lydra-A (Sophos), TrojanSpy:Win32/Lydra.A (RAV), TROJ_LYDRA.A (Trend Micro), TR/Win32.Lydra.A (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Lydra.A (Grisoft), Trojan.Spy.Lydra.A (SOFTWIN), Trojan.Lydra.A (ClamAV), Win32/Spy.Lydra.A (Eset) Описание опубликовано 20 май 2005
Поведение Trojan-Spy, программа-шпион



Технические детали
Вредоносная программа написана на Delphi, упакована UPX. Размер файла составляет примерно 26 КБ.

Инсталляция
При запуске копирует себя в директорию Windows под именами INTERNAT.EXE и MDM.EXE.

Добавляет записи для автозагрузки в реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
[HKEY_USERS\S-1-5-21-583907252-764733703-839522115- 500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer\Run]
"INTERNAT"="%WINDIR%\INTERNAT.EXE"

[HKEY_USERS\S-1-5-21-583907252-764733703-839522115- 500\Software\Microsoft\Windows\CurrentVersion\Run]
"MDM"="%WINDIR%\mdm.exe"

Также копирует себя в папку автозагрузки меню «Пуск» под именем msoffice.exe.

На NT-системах дополнительно добавляет запись об автозагрузке в список сервисов (под именем INTERNAT).

Создает папку IME в директории Windows и хранит в ней лог-файл с именем err.dat.

Скрывает свой процесс на Win9x-системах.

Если год текущей даты старше, чем 2004, то программа завершается и деинсталлируется, оставляя в файле err.dat запись:

Period of validity expired. Look for new version the KI_Scaner programm in Internet or buy KI_Scaner Pro
Действия
Собирает различную системную информацию (имя компьютера, списки файлов, настройки системы, конфигурацию оборудования) и отсылает ее автору на несколько email-адресов.

Другие названия
Backdoor.Win32.Netbus.170 («Лаборатория Касперского») также известен как: NetBus (McAfee), BackDoor.NetBus.170 (Doctor Web), Troj/Netbus-A (Sophos), Backdoor:Win32/NetBus.1_70 (RAV), BKDR_NETBUS.C (Trend Micro), TR/NB/Patch-1.7 (H+BEDV), W32/NetBus.backdoor.494592.B (FRISK), Win32:NetBus-17 (ALWIL), BackDoor.Netbus.BC (Grisoft), Trojan.Netbus.A (SOFTWIN), Trojan.Netbus.KeyHook170 (ClamAV), Bck/Netbus.I (Panda), Netbus.170 (Eset) Описание опубликовано 20 май 2005
Поведение Backdoor, троянская программа удаленного администрирования



Технические детали
Программа предоставляет полный контроль над компьютером-жертвой, обеспечивает неограниченный доступ злоумышленнику для осуществления различных действий на компьютере пользователя, например, загрузки или скачивания файлов, запуска приложений, получения снимков экрана и т.п. Также имеет функционал keylogger, т.е. протоколирование ввода с клавиатуры для перехвата паролей и другой конфиденциальной информации.

Данная программа устанавливает свои файлы в следующие папки (имя файлов может отличаться):

%Windir%\KeyHook.dll
%Windir%\MSCOMCNFG.EXE
Ms comcnfg.exe — основной компонент, который обеспечивает доступ к компьютеру пользователя. KeyHook.dll — компонент, который ведет протокол ввода с клавиатуры.

Программа написана на Delphi, в ее полный состав может входить 5-7 файлов общим объемом около 5 МБ (размер основной компоненты — около 500 КБ).

Содержит текст:

Could not update NetBus server (probably running).
NetBus 1.70
NetBus server is running on at port
Set password on NetBus-server:
Subject: NetBus server is up and running

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 167КБ, упакован UPX. Размер распакованного файла около 200КБ.

Инсталляция
После запуска червь создает в системном каталоге Windows следующие файлы:

C:\WINDOWS\SYSTEM32\sysinfo32.exe
C:\WINDOWS\SY STEM32\trace32.exe
Также червь копирует себя в системный каталог Windows с именем:

C:\WINDOWS\SYSTEM32\sqlssl.doc .exe
Затем червь создает запись в системном реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Xuy v palto]
Размножение через email
Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

TBB
tbb
TBI
tbi
DBX
dbx
HTM
htm
TXT
txt
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@foo
@iana
@messagelab
@microsoft
abus e
admin
administrator@
all@
anyone@
bsd
bugs @
cafee
certific
certs@
contact@
contract@
f este
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nob ody@
noone@
noreply
ntivi
oocies
panda
pgp
p ostmaster@
rating@
root@
samples
sopho
spam
s upport
support@
unix
update
webmaster@
winrar
winzip


Характеристики зараженных писем
Тема письма:
Выбирается из списка:

ASAP
Administrator
Allert!
Amirecans
Att
at tach
attachments
best regards
contract
Have a nice day
Hello
Money
office
please responce
re: Andrey
re: order
re: please
Read this
Russian's
text
toxic
urgent
Vasia
waiti ng
Warning


Текст письма:
Выбирается из списка:

Did you get the previous document I attached for you?
I resent it in this email just in case, because I
really need you to check it out asap.
Best Regards

Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give me
your opinion on this opportunity when you get a chance.
Best Regards

Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.

Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards

Hi
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards,

Sorry to bother you, but I am having a problem receiving your emails.
I am responding to your last email in the attached file.
Please get back to me if there is any problem reading the attachment.

I am responding to your last email in the attached file.
I had a delivery problem with your inbox, so maybe you'll receive this now.

Can you please check out the email I have attached?
For some reason, I received only part of your last several emails.
I want to make sure that there are no problems with either of our accounts.

This email is being sent as attachment because
it was previously blocked by your email filters.
Please view the attachment and respond.
Thanks

I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks

I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.

My last email to you was returned.
The reason is that I am not currently
added to your allowed contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely

I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.

We have made recent updates to our database.
Please verify your mailing address on file is correct.
We have attached a (.pdf) sheet for you to use for your response.

Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,

***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has been
temporarily suspended for 24 hours unless we are contacted regarding
this situation.
You must read the attached document for further
instructions. Failure to comply will result in termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized as spam.
This means your email was not delivered to your friend or client.
You must open the attached file to receive more information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

Hello,
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file to me.
Many thanks,
User

Hello,
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I discovered.
Please read attached document and respond ASAP.
Sincerely,
User

Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,User

Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely, User

Имя файла-вложения:
Выбирается из списков:

about.zip
admin.zip
archivator.zip
archives.z ip
ataches.zip
backup.zip
docs.zip
documentati on.zip
help.zip
inbox.zip
manual.zip
outbox.zi p
payment.zip
photos.zip
rar.zip
readme.zip
s ave.zip
zip.zip

about.doc .exe
admin.doc .exe
archivator.doc .exe
archives.doc .exe
ataches.doc .exe
backup.doc .exe
docs.doc .exe
documentation.doc .exe
help.doc .exe
inbox.doc .exe
manual.doc .exe
outbox.doc .exe
payment.doc .exe
photos.doc .exe
rar.doc .exe
readme.doc .exe
save.doc .exe
sqlssl.doc .exe
zip.doc .exe
Действие
I-Worm.Bagz.g изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст, запрещая доступ к следующим ресурсам:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 localhost
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com
Червь удаляет из системного реестра ключи, содержащие следующие строки:

804mbd1.chk
804mbd1.img
aboutplg.dll
alert.za p
appinit.ini
apwcmdnt.dll
apwutil.dll
ashavas t.exe
ashbug.exe
ashchest.exe
ashdisp.exe
ashl dres.dll
ashlogv.exe
ashmaisv.exe
ashpopwz.exe
a shquick.exe
ashserv.exe
ashsimpl.exe
ashskpcc.e xe
ashskpck.exe
aswboot.exe
aswregsvr.exe
aswu pdsv.exe
avcompbr.dll
avres.dll
bootwarn.exe
c amupd.dll
ccavmail.dll
ccimscan.dll
ccimscn.exe
cerbprovider.pvx
cfgwiz.exe
cfgwzres.dll
defa lert.dll
djsalert.dll
dunzip32.dll
edisk.dll
e mail.zap
emscnres.dll
filter.zap
firewall.zap
f ramewrk.dll
ftscnres.dll
idlock.zap
imscnbin.in f
imscnres.inf
ltchkres.dll
mcappins.exe
mcavt sub.dll
mcinfo.exe
mcmnhdlr.exe
mcscan32.dll
m cshield.dll
mcshield.exe
mcurial.dll
mcvsctl.dl l
mcvsescn.exe
mcvsftsn.exe
mcvsmap.exe
mcvsrte.exe
mcvsscrp.d ll
mcvsshl.dll
mcvsshld.exe
mcvsskt.dll
mcvswo rm.dll
mghtml.exe
mpfagent.exe
mpfconsole.exe
m pfservice.exe
mpftray.exe
mpfupdchk.dll
mpfwiza rd.exe
mvtx.exe
n32call.dll
n32exclu.dll
naian n.dll
naievent.dll
navap32.dll
navapscr.dll
na vapsvc.exe
navapw32.dll
navapw32.exe
navcfgwz.d ll
navcomui.dll
naverror.dll
navevent.dll
navl com.dll
navlnch.dll
navlogv.dll
navlucbk.dll
n avntutl.dll
navoptrf.dll
navopts.dll
navprod.dl l
navshext.dll
navstats.dll
navstub.exe
navtas ks.dll
navtskwz.dll
navui.dll
navui.nsi
navuih tm.dll
navw32.exe
navwnt.exe
netbrext.dll
ntcl ient.dll
oeheur.dll
officeav.dll
opscan.exe
ou tscan.dll
outscres.dll
patch25d.dll
patchw32.dl l
persfw.exe
pfui.dll
pfwadmin.exe
probegse.dll
programs.zap
ptchinst.dll
qconres.dll
qconsole.exe
qspak32 .dll
quar32.dll
quarantine
quaropts.dat
s32int eg.dll
s32navo.dll
savrt.sys
savrt32.dll
savrt pel.sys
savscan.exe
scan.dat
scandlvr.dll
scan dres.dll
scanmgr.dll
scanserv.dll
sched.exe
sc riptui.dll
scrpres.dll
scrpsbin.inf
scrstres.in f
sdpck32i.dll
sdsnd32i.dll
sdsok32i.dll
sdstp 32i.dll
security.zap
shextbin.inf
shextres.inf
s hlres.dll
ssleay32.dll
statushp.dll
symnavo.dll
tutorwiz.dll
vsagntui.dll
vsavpro.dll
vsdb.dl l
vsmon.exe
vsoui.dll
vsoupd.dll
vsowow.dll
v sruledb.dll
vsvault.dll
wormres.dll
zatutor.exe
zauninst.exe
zav.zap
zl_priv.htm
zlclient.exe
zlparser.dll
zonealarm.exe

Информация взята с http://www.avp.ru/Content-Disposition: form-data; name="smiles_on"

1

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером 205КБ.

Инсталляция
Во время запуска червь может выводить сообщение:

Windows encountered an error reading the file
После запуска червь копирует себя в системный каталог Windows с именами:

bloodred.exe
Windows_kernel32.exe
Также в системном каталоге Windows червь создает следующие файлы:

base64exe.sys
base64zip.sys
frun.txt
В каталоге Windows червь создает файл "bloodred.zip".

I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"Microsoft Kernel"="%System%\Windows_kernel32.exe"
Распростр анение через email
Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
doc
htm
html
jsp
rtf
txt
xm l
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@fsecure
@hotmail
@microsoft
@mm
@msn
@ noreply
@norman
@norton
@panda
@sopho
@symant ec
@virusli
Характеристики зараженных писем
Адрес отправителя:
Выбирается из списка:

administration@<домен получателя>
management@<домен получателя>
server@<домен получателя>
service@<домен получателя>
userhelp@<домен получателя>
Тема письма:
Выбирается из списка:

Detailed Information
Email Account Information
Server Error
URGENT PLEASE READ!
Urgent Update!
User Info
User Information

http://www.avp.ru/

Место хранения
ICQFLOOD.EXE
c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47\A0017428 .exe
A0017428.exe
c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47
A0017429.EXE
c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47

Расшерение
.exe
.EXE
.sfx.exe

Этот вирус распологается на данной ссылки http://hacksss2.stsland.ru/icqflood.sfx.exe ...

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл, размером 205КБ.

Инсталляция
Во время запуска червь может выводить сообщение:

Windows encountered an error reading the file
После запуска червь копирует себя в системный каталог Windows с именами:

bloodred.exe
Windows_kernel32.exe
Также в системном каталоге Windows червь создает следующие файлы:

base64exe.sys
base64zip.sys
frun.txt
В каталоге Windows червь создает файл "bloodred.zip".

I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"Microsoft Kernel"="%System%\Windows_kernel32.exe"
Распростр анение через email
Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
doc
htm
html
jsp
rtf
txt
xm l
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

@avp
@fsecure
@hotmail
@microsoft
@mm
@msn
@ noreply
@norman
@norton
@panda
@sopho
@symant ec
@virusli
Характеристики зараженных писем
Адрес отправителя:
Выбирается из списка:

administration@<домен получателя>
management@<домен получателя>
server@<домен получателя>
service@<домен получателя>
userhelp@<домен получателя>
Тема письма:
Выбирается из списка:

Detailed Information
Email Account Information
Server Error
URGENT PLEASE READ!
Urgent Update!
User Info
User Information
Текст письма:
Выбирается из вариантов:

Our server is experiencing some latency in our email service.
The attachment contains details on how your account will be affected.

Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details

Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment

We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened.

Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment

There is urgent information in the attachment regarding your Email account

Имя файла-вложения:
Выбирается из списка:

Account_Information
Details
Gift
Information
U pdate
Word_Document
Возможные расширения: cmd, pif, scr, zip.

Размножение через локальную и файлообменные сети
Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка:

ACDSEE10.exe
Adobe Photoshop Full Version.exe
Battlefield 1942.exe
Brianna banks and jenna jameson.mpeg ..exe
Britney spears naked.jpeg .exe
Cisco source code.zip ..exe
DVD Xcopy xpress.exe
jenna jameson screensaver.scr
Kazaa Lite.zip ..exe
NETSKY SOURCE CODE.zip ..exe
Norton AntiVirus 2004.exe
Opera Registered version.exe
Snood new version.exe
Teen Porn.mpeg ..exe
Visual Studio.NET.zip .exe
WinAmp 6.exe
Windows crack.zip ..exe
Windows Longhorn Beta.exe
WINDOWS SOURCE CODE.zip ..exe
WinRAR.exe
Действие
I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт.

Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст:

127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com
После 15 ноября 2004 червь пытается произвести DoS-атаку на сай www.kazaa.com.

Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы.

Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.

Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме.
При запуске Trojan.Webus.D выполняет следующие действия:

1.Копирует себя в %System%\lsvchost.exe.

2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе.

3.Добавляет значения :

".mscdr"="%System%\lsvchost.exe"
В ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом.

5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов :

serv.gigaset.org
gimp.robobot.org
Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция
После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe", в системный каталог Windows.

Например:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe
Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
"Rhino" = "%System%\<любой набор символов>32.exe"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
tx t
wab
При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
a nyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
f sf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpr is
isc.o
isi.e
kernel
linux
listserv
math
m e
mit.e
mozilla
msn.
mydomai
no
nobody
nodo mai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
r uslis
samples
secur
sendmail
service
site
so ft
somebody
someone
sopho
submit
support
sym a
tanford.e
the.bat
unix
usenet
utgers.ed
we bmaster
you
your


При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя одну из следующих строк:

adam
alex
alice
andrew
anna
bill
bob
bren da
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimm y
joe
john
jose
julie
kevin
leo
linda
mari a
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom


Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:

aol.com
hotmail.com
msn.com
yahoo.com
Тема письма:
Выбирается из списка:

funny photos
hello
hey!
Текст письма:
Выбирается из следующих вариантов:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

Файл-вложение:
В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:

http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>
Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.

Подпись к письму:
Выбирается из списка:

Checked by Dr.Web (http://www.drweb.net)
Checked for viruses by Gordano's AntiVirus Software
scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.

Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB.

При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe".

Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника.

Троянская программа регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"mset"="%Windir%\%System%\mset\svchost.exe"
Также в системной папке Windows "троянец" создает следующие файлы:

C:\WINDOWS\SYSTEM32\kwuie_x.dll
C:\WINDOWS\SYST EM32\xtempx.xxx
После запуска троянец выдает следующее окно:

http://www.securitylab.ru/images/virus/montp_l_1_s.gif

TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
A NTI-TROJAN.EXE
APVXDWIN.EXE
ARMOR2NET.EXE
AUTOD OWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVK SERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
A VPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AV SCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET .EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEA NER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECE NGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EX E
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F -STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
I BMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
I CSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
J EDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
M OOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EX E
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
N ISUM.EXE
NMAIN.EXE
NORMIST.EXE
NPROTECT.EXE
NU PGRADE.EXE
NVC95.EXE
NVSVC32.EXE
OUTPOST.EXE
PADMIN.EXE
P AVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCFWALLICON.EXE
P CWIN98.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RES CUE.EXE
SAFEWEB.EXE
SAVSCAN.EXE
SCAN32.EXE
SCA N95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC. EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
T DS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
V SCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
W EBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.
При запуске Backdoor.Selka выполняет следующие действия:

1.Копирует себя в %System%\WIN32SVC.EXE.

2.Создает сервис со следующими свойствами:


Service Name: win32svc
Display Name: Win32 service
3.Создает следующие подключи реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\win32svc
HKEY_LOCAL_MACHINE\System\CurrentCont rolSet\Enum\Root\LEGACY_WIN32SVC
HKEY_LOCAL_MACHI NE\Software\Netmaniac\aSeLka\iNfecTeD
4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд.

5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru.

Email имеет следующие характеристики:

From:
sweetamy@bk.ru

To:
sweetamy@bk.ru

Subject:
-= iNfEcTeD hOsT [infected computer name] [infected user name] =-

Message text:
(various system information)

Примитивный зашифрованный нерезидентный Win32-вирус.

Ищет и заражает приложения Win32 (PE EXE-файлы) по маскам "*.?XE" и "*.SC?". Поиск вирус осуществляет в текущем каталоге, каталоге Windows и системном каталоге Windows.

Вирус дописывает 1774 байта своего шифрованного вирусного кода в конец заражаемого файла. Повторно файлы не заражает.

Заражает только исполняемые файлы, которые предназначены для i386-процессора. Не заражает динамические библиотеки.

Вирус никак не проявляет своего присутствия в системе.

Дроппер вируса содержит строки:

-xX[ Kallist - cH4R_ presents ]Xx-
=wW( https://vx.helith.net/~charvx )Ww=
Pirateright (P) 2004-2005, cH4R_ , NO rightz reserved.
Kallist - From the Greek mitology to your computer.
Также дроппер имеет секцию с именем "Kallisti".

Признаком заражения может являться строка:

Kallisti, by cH4R_
Строка эта вирусом не шифруется и присутствует в открытом виде в конце инфицированных им файлов.

Trojan.Sens - это троянская программа, которая инсталлирует себя как сервис и мониторит сетевую активность на зараженном компьютере. Троян также посылает удаленному атакующему украденную информацию с зараженнного компьютера .
Trojan.Sens содержит следующие компоненты:

install.bat

Launcher.exe

testdll.dll

Winhost.dll

При запуске Trojan.Sens выполняет следующие действия:

1. Инсталлирует себя на зараженный компьютер, используя файл install.bat

2. Создает свои копии в файлах :

# %windir%\system32\iat.dll

# %windir%\system32\senss.exe

3. Добавляет значения:

"program" = "senss.exe"
"Interactive" = "0"
в следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv ices\SENS\Parameters
4. Изменяет значения:

"ServiceDll"="%System%\sens.dll"
на

"ServiceDll"="[path]\winhost.dll"
в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv ices\SENS\Parameters
5. Загружает "iat.dll", чтобы внедрить код в процесс "winlogon.exe".