Лаборатория Касперского: новые вирусы наступают

I-Worm.NetSky.y Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.
Написан на Microsoft Visual C++.

Упакован PE_Patch+TeLock. Размер в сжатом виде — 26112 байт, в разжатом — 28160 байт.
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).

Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем FirewallSvr.exe в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunFirewallSvr]

Рассылка писем
Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам.

В каталоге Windows червь создает файл fuck_you_bagle.txt в который записывает свое тело в формате электронных писем. В дальнейшем использует этот файл для генерации зараженных писем.
Удаленное администрирование — Червь открывает и затем отслеживает порт 82.

Функции бэкдор позволяют злоумышленнику производить загрузку файлов на машину-жертву.
Прочее.
Червь запрограммирован на проведение в период с 27 по 30 апреля 2004 года DoS-атаки на следующие сервера:
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
________________

I-Worm.Zafi — Интернет-червь, распространяющийся как вложения в зараженные электронные письма. Длина — 11776 байт.
Содержание зараженных писем
Отправитель:
kepeslapok@meglep.hu
Текст письма:

Tisztelt felhasznalo!
Onnek kepeslapja erkezett!
A kepeslap feladoja: Leva

A lapot az alabbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellekelt internetlink kattintasaval.
Udvozlettel: Matav e-card!
http//www.netezz.matav.hu/

Имя вложенного файла
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv255
Инсталляция — Создает в реестре ключи:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
Значение ключа — ссылка на копию червя в системном каталоге.

Имя файла генерируются червем случайным образом.
[HKLMSoftwareMicrosoftHazafi]
R1-RA значения ключей — имя пользователя, email пользователя, ссылки на копии червя в системном каталоге и ссылки на файлы, содержащие найденные червем email адреса.

Все имена файлов генерируются червем случайным образом.
________________
I-Worm.Sober.f — Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в пакованом виде — примерно 40KB и может незначительно изменяться, размер в распакованном виде — примерно 140KB.
Зараженные письма содержат произвольные темы и тексты.

Имя вложения также может варьироваться с разными расширениями pif или zip.
Например:
Тема письма:
Connection failed

Текст письма:
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Имя вложения:
your_passwords.pif
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл.

После запуска червь открывает Notepad в котором отображает исходный текст письма.
Червь регистрирует себя в ключе автозапуска системного реестра:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
= %System%
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
= %System% %1
________________

TrojanDownloader.Win32.Small.hg
Написан на языке C. Размер — 3584 байт.
Вредоносные действия
Скачивает Trojan.Win32.Harnig.c и Trojan.Win32.Harnig.d c адресов:

http://www.hard-virgins.com/p***s/reg33lol.txt

http://www.hard-virgins.com/p***s/reg35lol.txt

Соответственно, копирует их поочередно в каталог Windows под именем reg33.exe и запускает.

Так же троян скачивает файлы secvag1l.php, secvag33.php и сохраняет их как securea.html, secure.html в каталоге Windows.
________________
TrojanSpy.Win32.Small.q — Троянская программа-шпион, ворующая данные пользователя при работе с системами электронных платежей.

Файл является приложением Windows (PE EXE-файл), упакован FSG, размер файла — 5184 байта.
При инсталляции копирует себя в каталог Windows, и регистрирует скопированный файл в ключе автозапуска системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
OLE = [имя скопированного файла]

Затем выбрасывает из себя dll-файл с именем HookerDll.Dll размером 6144 байта в каталог Windows. Данный файл предназначен для перехвата клавиатурного ввода.
Троянец создает в каталоге Windows файл krk.txt и записывает в него коды нажимаемых пользователем клавиш.

Таким образом троянец ворует коды доступа к системам электронных платежей. Полученные коды затем отсылаются на электронный почтовый ящик автора программы.
________________
Trojan.JS.StartPage.n — Примитивный троянец. Написан на языке JavaScript.

При запуске выполняет модификацию ключа реестра:
[HKCUSoftwareMicrosoftInternet ExplorerMainStart Page]
что вызывает изменение адреса домашней Internet Explorer страницей на адрес:

http://www.8v7.com/

________________
Большая Вирусная Энциклопедия — www.viruslist.com

Другие светильники этого типа: