[XL] Вирусняк
Всем привет!
Внимание! Сегодня пришло письмо якобы о неправильной доставке моего письма.
Еще и с вложением. Это ВИРУС!!!
Описание ниже. В тексте письма было "new price", а приложение -
price_09.zip.
Email-Worm.Win32.Bagle.cs
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные
электронные письма.
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не
свою копию, а компонент, который может скрытно устанавливать в систему
другие вредоносные программы.
Червь содержит в себе бэкдор-функцию.
Червь представляет собой PE EXE-файл, размером 26628 байт.
Инсталляция
После запуска червь копирует себя с именем windll2.exe в системный каталог
Windows:
%System%\windll2.exe
Распространение через email
Данный вариант червя не ищет электронные адреса потенциальных жерт на
зараженном компьютере. Червь имеет возможность загрузить из Интернета файлы,
содержащие адреса электронной почты будущих жертв. Червь содержит весьма
объемный список Интернет страниц, с которых можно скачать данные файлы.
Червь рассылает зараженные письма по всем содержащимся в скаченном файле
адресам электронной почты. Для отправки почты червь использует прямое
подключение к SMTP-серверу получателя.
Характеристики зараженных писем
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не
свою копию, а свой компонент, который может скрытно устанавливать в систему
другие вредоносные программы.
Тема письма:пустое поле
Текст письма:
Выбирается из списка:
The password is
new price
Password:
price
Имя файла-вложения:
Выбирается из списка:
09_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_09.zip
price_new.zip
price2.zip
Архив содержит файл с расширением cpl. Данный файл является компонентом
червя и детектируется Антивирусом Касперского так же, как и основной модуль
Email-Worm.Win32.Bagle.cs.
Удаленное администрирование
Червь открывает и затем отслеживает TCP-порт 80 для приема команд от
злоумышленника.
Действия cpl-компонента
Данный компонент рассылается основным модулем червя. Его функция
заключается в скрытной установке в систему других файлов без ведома
пользователя.
Размер данного файла 14340 байт.
Внутри своего кода данный компонет хранит другой EXE-файл, который при
старте сохраняется в корневом каталоге Windows с различными именами.
Например:
%Windir%\ceeweewe.exe
После чего данный файл автоматически запускается на исполнение.
Однако он не представляет опасности для зараженного компьютера, так как
является поврежденной копией самого червя.
Создаваемый файл также детектируется Антивирусом Касперского, как
Email-Worm.Win32.Bagle.cs.
По материалам сайта viruslist.ru
--
С уважением,
Anex
[email + web]
Написать письмо: akerm***@m*****.ru
Харьковское время: 11:16:16 20 вересня 2005 р.
....
Везет же вам =)
А ятакие письма по несколько штук в день порой получаю =)
а еще (не вирусное но навязчивое) предложение купить лицензионные винду, фотошом,
акробат ридер и тип того с скидкой 15%
А однажды даже какой-то китайский-японский-корейский спам пришел...
Так что у вас все еще впереди =)
ЗЫ: "Настоящее одиночество, это когда у тебя есть мыло, а пишут тока спаммеры..."