Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпус по вирусам.


Компьютер для продвинутых пользователей
В этом выпуске:
Trojan-Downloader. Win32.Small.dam | VirTool.MSWord. UMP | Trojan.JS. Wipe | Trojan-Downloader. JS.Psyme.bs | Trojan.JS. Wincrash.d | Trojan.JS. ExitW.b | Email-Worm. Win32.Zhelatin.o
Trojan-Downloader. Win32.Small.dam
Троянская программа, которая осуществляет загрузку из Интернета и запуск на компьютере пользователя других вредоносных программ. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов существенно варьируется.
Первоначально данный троянец был распространен при помощи спам-рассылки.

Характеристики зараженных писем
Тема письма.
Выбирается произвольным образом из списка:
* A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked
German Chancellor Angela Merkel * British Muslims Genocide
* Naked teens attack home director
* 230 dead as storm batters Europe
* Re: Your text
* Radical Muslim drinking enemies's blood
* Chinese missile shot down Russian satellite
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning"
* Fidel Castro dead.

Имя файла вложения.
Выбирается произвольным образом из списка:
* FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe


Инсталляция
После запуска троянская программа создает следующие файлы в системном каталоге Windows:
* %System%\peers.ini
* %System%\wincom32.sys
- детектируется Антивирусом Касперского
как Rootkit.Win32.Agent.dh, размер - 41 728 байт
Троянец регистрирует свои файлы в следующих ключах системного реестра:
[HKLM\System\CurrentControlSet\Services\wincom32]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINCOM32]


Деструктивная активность
Троянец пытается загрузить из интернета другие файлы и запустить их на компьютере пользователя.
По содержащимся в теле троянца ссылкам злоумышленники могут разместить любые другие вредоносные программы.
VirTool.MSWord. UMP
Программа является документом MSWord (DOC-файл). Имеет размер 27 136 байт. Написана на макроязыке MSWord.

Деструктивная активность
Данная вредоносная программа вставляет Trash-код в исходный код другого макро-вируса. Может использоваться в других макросах.

Другие названия
VirTool.MSWord.UMP («Лаборатория Касперского») также известен как: VirTool.Macro.Word97.UMP («Лаборатория Касперского»), W97M/Ump.Kit.a (McAfee), W97M.Ump (Doctor Web), WM97/Ump Kit (Sophos), W97M/UMP.Kit (RAV), W97M_UMP (Trend Micro), W97M/UMP.A (H+BEDV), W97M/UMP.A (FRISK), MW97:UMP (ALWIL), W97M/Ump (Grisoft), W97M.Ump.A (SOFTWIN), W97M.UMP.A (ClamAV), W97M/UMP-Kit (Eset)
Trojan.JS. Wipe

Данная программа представляет собой вредоносный сценарий JavaScript. Содержится в WEB-страницах. Имеет размер 5 021 байт.

Деструктивная активность
Троянец содержит строку с кодами символов, которая после запуска файла записывается в отображаемую браузером страницу с помощью метода document.write. Таким образом, троянская программа запускает на исполнение свою закодированную часть, содержащую эксплоит Exploit.HTML.SecurityBreach.3. Данный эксплоит используется для удаления через объект Microsoft Scriptlet Library содержимого следующих файлов:
C:\Windows\system.ini
C:\Windows\win.ini
C:\Windows\rundll32.exe
C:\Windows\rundll.exe
C:\Windows\command.com
C:\command.com
C:\Windows\regedit.exe
C:\Windows\regsvr32.exe


Другие названия
Trojan.JS.Wipe («Лаборатория Касперского») также известен как: JS/Wipe (McAfee), Trojan.JS.Wipe (Symantec), JS.Wipe (Doctor Web), Junk/JSFox (Sophos), JS/Wipe.A* (RAV), JS_FUXORED.A (Trend Micro), JS/Fox (H+BEDV), JS/Fox.C (FRISK), VBS:Malware (ALWIL), JS.Nasty.A (SOFTWIN), JS.Fox (ClamAV), JS/Fox.A (Panda), JS/SecurityBreach (Eset)
Trojan-Downloader. JS.Psyme.bs

Троянская программа-загрузчик. Написана на JavaScript. Содержится в Веб-страницах или скомпилированных CHM-файлах.

Деструктивная активность
При открытии вредоносной страницы троянец, используя ActiveXObject "Microsoft.XMLHTTP", скачивает с сайта http://.www****t2.com/files/ файл eied_s7_cust.cab и сохраняет его в файл C:\eied_s7.cab, который затем загружается в iFrame на этой же странице.
Trojan.JS. Wincrash.d

Троянская программа. Является сценарием JavaScript. Содержится в WEB-страницах. Имеет размер 1 335 байт.

Деструктивная активность
После запуска троянец 1000 раз записывает в текущий документ строку "‚±‚с‚Й‚ї‚н". Затем открывает в отдельном окне браузера файлы:
/adm/popup/roadmap.shtml?текущее_время
crasher.htm


Другие названия
Trojan.JS.Wincrash.d («Лаборатория Касперского») также известен как: JS/Crasher (McAfee), Trojan Horse (Symantec), Trojan.WinCrash (Doctor Web), Troj/Wincrash-D (Sophos), JS/Wincrash.D* (RAV), JS_CRASHER.A (Trend Micro), JSc/Wincrash.D (H+BEDV), JS/Crasher.A (FRISK), JS.Trojan.WinCrash.D (SOFTWIN), JScr.Wincrash.D (ClamAV), Trojan Horse (Panda), JS/Wincrash.B (Eset)
Trojan.JS. ExitW.b

Троянская программа. Является сценарием JavaScript. Содержится в WEB-страницах. Имеет размер 1 476 байт.

Деструктивная активность
Троянец, используя объект "ScriptletTypeLib", создает файл, запускаемый при загрузке Windows:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta
Данный файл содержит команду завершения работы Windows.

Другие названия
Trojan.JS.ExitW.b («Лаборатория Касперского») также известен как: JS/Wipe (McAfee), JS.HTADropper (Symantec), Troj/ObjectID-A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (Trend Micro), JSc/ExitW.B1 (H+BEDV), VBS/WSRunner.E (FRISK), VBS:Malware (ALWIL), JS.Trojan.ExitW.B (SOFTWIN), JScr.ExitW.B1 (ClamAV), JS/Trojan.ExitW.B (Panda), JS/ExitW.B (Eset)
Email-Worm. Win32.Zhelatin.o

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.

Инсталляция
При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe:
%System%\alsys.exe
Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.
После чего червь создает следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe
"
То есть при каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает следующие файлы в системном каталоге Windows:
%System%\wincom32.ini
%System%\wincom32.sys

Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/Internet Connection Sharing (ICS):
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4
"

Распространение через email
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Письма не отсылаются на адреса, содержащие в своем адресе следующие строки:
microsoft
.gov
.mil


Характеристики зараженных писем
Имя отправителя
Выбирается из списка:
* Anita
* April
* Ara
* Aretina
* Amorita
* Alysia
* Aldora
* Barbra
* Becky
* Bella
* Briana
* Bridget
* Blenda
* Bettina
* Caitlin
* Chelsea
* Clarissa
* Carmen
* Carla
* Cara
* Camille
* Damita
* Daria
* Danielle
* Diana
* Doris
* Dora
* Donna
* Ebony
* Eden
* Eliza
* Erika
* Eve
* Evelyn
* Emily
* Faith
* Gale
* Gilda
* Gloria
* Haley
* Holly
* Helga
* Ivory
* Ivana
* Iris
* Isabel
* Idona
* Ida
* Julie
* Juliet
* Joanna
* Jewel
* Janet
* Katrina
* Kacey
* Kali
* Kyle
* Kassia
* Kara
* Lara
* Laura
* Lynn
* Lolita
* Lisa
* Linda
* Myra
* Mimi
* Melody
* Mary
* Maia
* Nadia
* Nova
* Nina
* Nora
* Natalie
* Naomi
* Nicole
* Olga
* Olivia
* Pamela
* Peggy
* Queen
* Rachel
* Rae
* Rita
* Ruby
* Rosa
* Silver
* Sharon
* Uma
* Ula
* Valda
* Vanessa
* Valora
* Violet
* Vivian
* Vicky
* Wendy
* Willa
* Xandra
* Xylia
* Xenia
* Zilya
* Zoe
* Zenia

Тема письма
Выбирается из списка:
* 5 Reasons I Love You
* A Bouquet of Love
* A Day in Bed Coupon
* A Hug & Roses
* A Kiss for You
* A Kiss So Gentle
* A Little (sex) Card
* A Monkey Rose for You
* A Red Hot Kiss
* A Relaxing Coupon
* A Romantic Place
* A Song to You
* A Special Flower for You
* A Special Kiss
* A Sweet Love
* A Token of My Love
* A Weekend Getaway
* Against All Odds
* All For You
* All That Matters
* Angel of Love
* Awaiting Your Love
* Baby, I'll Be There
* Back Together
* Between Us
* Bewitching Moonlight
* Brand New Love
* Breakfast in Bed Coupon
* Bubble Bath Coupon
* Can't Wait to See You!
* Crazy way to say I Luv U
* Cuddle Me Please
* Cuddle Up
* Cyber Love
* Dancing With You
* Dinner Coupon
* Doing It for You
* Dream Date Coupon
* Dream Girl
* Emptiness Inside Me
* Eternity of Your Love
* Evening Romance
* Every Inch of Your Body
* Everyone Needs Someone
* Falling In Love with You
* Feeling Horny?
* Fields Of Love
* For Better of For Worse
* For You
* For You....My Love
* Forever and Ever
* Forever in Love
* From this day forward
* Full Heart
* Hand in Hand
* He Blessed Our Lives
* Heart is Breaking
* Heart of Mine
* Hey Cutie
* Hold Me (distant love)
* Hold On
* How Much I Love You
* Hugging My Pillow
* I Always Knew
* I am Complete
* I Am Lost In You
* I Believe
* I Can't Function
* I Dream of you
* I Give to You
* I Love Thee
* I Love You Mower
* I Love You So
* I Love You Soo Much
* I Love You with All I Am
* I Still Love You
* I Think of You
* I Win with You
* I wish
* I Woof You
* I Would Do Anything
* I Would Give you Anything
* If I Could
* If I Knew
* I'll Be Your Man
* In Love
* In My Heart
* Inside My Heart
* Internet Love
* It's Your Move
* Just You
* Just You & Me
* Kiss Coupon
* Kisses, Hugs & Roses
* Last Night was Hot!
* Let's Get Frisky
* Live With Me
* Longing for You
* Love at First Sight
* Love Birds
* Love for Granted
* Love is in the Air
* Love Remains
* Love You Deeply
* Made for Each Other Brand New Love
* Magic of Flowers
* Massage Coupon
* Memories
* Miracle of Love
* Moonlit Waterfall
* Most Beautiful Girl
* My Eye on You
* My Heart belongs to you
* My Heart is Thinking
* My Invitation
* My Love
* My Perfect Love
* Now and Forever
* Now I Know
* Old Together
* Only You
* Our Love
* Our Love Everyday
* Our Love is Free
* Our Love is Strong
* Our love is torn by miles
* Our Love Nest
* Our Love Will Last
* Our Two Hearts
* Our Wedding Day
* P.M.S
* Passionate Kiss
* Peek-A-Boo
* Pockets of Love
* Puppy Love
* Red Rose
* Romantic Picnic Coupon
* Rose for my Love
* Safe and Sound
* Safe With You
* Search for One
* Sending Kiss
* Sending You My Love
* Showers Of Love
* So in Love
* So Unique
* Solitary Beauty
* Someone at Last
* Soul Mates
* Soul Partners
* Steamy Dream
* Steamy Sex Coupon
* Summer Love
* Take My Hand
* Teddy Bear & Roses
* Tender Whispers
* Thanks...Love
* That Special Love
* The Candle's Light
* The Dance of Love
* The Kiss
* The Letter
* The Long Haul
* The Love Bugs
* The Miracle of Love
* The Mood for Love
* The Sweet Taste of Love
* The Time for Love
* Thinking about you
* Thinking of You
* This Day Forward
* This Feeling
* Til the End of Time
* Till Morning's Light
* Till Morninig's Light
* Times Are Hard, I Luv U
* To New Spouse
* Together Again
* Together You and I
* Touched by Love
* True Love
* Trunk Full Of Love
* Twice Blest
* Twilight Paradise
* Two of a Kind
* Unique Love
* Unmatchable Beauty
* Until the Day
* Vacation Love
* Waiting for You
* Want to Meet?
* Want You to Know
* We Are Different
* We Have Walked
* We're a Perfect Fit
* When I look at you
* When I'm With You
* When I'm With You
* When You Fall in Love
* Why I Love You
* Wild Nights--Wild Nights
* Will You?
* Window of Beauty
* Wine and Roses
* Wish I Could Tell You
* Wish Upon a Star
* With All My Love
* With All of My Heart
* With This Ring
* Without Your Love
* Won't you dance with me
* Words I Write
* Worthy of You
* Wrapped in Your Arms
* Wrapped Up
* You + Me
* You and I
* You and I Forever
* You Are My Guiding Star
* You are out of this world
* You Asked Me Why
* You Brighten My Day
* You Lucky Duck!
* You Rock Me!
* You Were Worth the Wait
* Your Love Has Opened
* Your Silly Smile
* You're My Hero
* You're so Far Away
* You're Soo kissable
* You're the One

Имя файла вложения
Выбирается из списка:
* flash postcard.exe
* Flash Postcard.exe
* Greeting Card.exe
* greeting card.exe
* Greeting Postcard.exe
* greeting postcard.exe
* Postcard.exe
* postcard.exe


Деструктивная активность
Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea

Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.
Не забудьте проголосовать за выпуск!
Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можно найти: ICQ - 273214003

e-mail - isdmi1::mail.ru

В избранное