Артур Скальский

© NewProm.ru

Интернет Мир

8044

29.10.2004, 22:16

Утро 29 октября ознаменовалось эпидемией почтового червя

Утро 29 октября ознаменовалось началом мощной эпидемии почтового червя I-Worm.Bagle.at, которые объёмом генерируемого трафика парализовал многие локальные сети. Как сообщили корреспонденту интернет-издания «NewsProm.Ru» в Украинском антивирусном центре, червь распространяется по электронной почте в виде прикреплённых файлов. При этом имя файла может быть либо JOKE либо PRICE, а расширение файла выбирается из следующего списка: COM, CPL, EXE, SCR. Исполняемый файл червя имеет изменяющийся размер между 18 и 22 Кбайтами и упакован утилитой сжатия файлов PeX.

После запуска червь создаёт в системной папке Windows файл wingo.exe и создаёт в реестре ключ, приводящий к автоматическому запуску червя при загрузке операционной системы:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

wingo=%SYSTEMDIR%wingo.exe

I-Worm.Bagle.at ищет в памяти ряд процессов и при обнаружении таковых выгружает их из памяти. Список выгружаемых процессов: mcagent.exe mcvsshld.exe mcshield.exe mcvsescn.exe mcvsrte.exe DefWatch.exe Rtvscan.exe ccEvtMgr.exe NISUM.EXE ccPxySvc.exe navapsvc.exe NPROTECT.EXE nopdb.exe ccApp.exe Avsynmgr.exe VsStat.exe Vshwin32.exe alogserv.exe RuLaunch.exe Avconsol.exe PavFires.exe FIREWALL.EXE ATUPDATER.EXE LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE NUPGRADE.EXE MCUPDATE.EXE pavsrv50.exe AVENGINE.EXE APVXDWIN.EXE pavProxy.exe navapw32.exe navapsvc.exe ccProxy.exe navapsvc.exe NPROTECT.EXE SAVScan.exe SNDSrvc.exe symlcsvc.exe LUCOMS~1.EXE blackd.exe bawindo.exe FrameworkService.exe VsTskMgr.exe SHSTAT.EXE UpdaterUI.exe

Червь открывает TCP/IP порт 81 и ожидает удалённых команд, отдавая полный доступ к компьютеру злоумышленникам.

I-Worm.Bagle.at пытается обращаться на ряд сайтов и скачать с них файл G.JPG. Список сайтов, к которым он пытается обратиться приведён ниже:

http://www.24–7-transportation.com

http://www.adhdtests.com

http://www.aegee.org

http://www.aimcenter.net

http://www.alupass.lu

http://www.amanit.ru

http://www.andara.com

http://www.angelartsanctuary.com

http://www.anthonyflanagan.com

http://www.approved1stmortgage.com

http://www.argontech.net

http://www.asianfestival.nl

http://www.atlantisteste.hpg.com.br

http://www.aviation-center.de

http://www.bbsh.org

http://www.bga-gsm.ru

http://www.boneheadmusic.com

http://www.bottombouncer.com

http://www.bradster.com

http://www.buddyboymusic.com

http://www.bueroservice-it.de

http://www.calderwoodinn.com

http://www.capri-frames.de

http://www.celula.com.mx

http://www.ceskyhosting.cz

http://www.chinasenfa.com

http://www.cntv.info

http://www.compsolutionstore.com

http://www.coolfreepages.com

http://www.corpsite.com

http://www.corpsite.com

http://www.couponcapital.net

http://www.cpc.adv.br

http://www.crystalrose.ca

http://www.cscliberec.cz

http://www.curtmarsh.com

http://www.customloyal.com

http://www.DarrkSydebaby.com

http://www.deadrobot.com

http://www.dontbeaweekendparent.com

http://www.dragcar.com

http://www.ecofotos.com.br

http://www.elenalazar.com

http://www.ellarouge.com.au

http://www.esperanzaparalafamilia.com

http://www.eurostavba.sk

http://www.everett.wednet.edu

http://www.fcpages.com

http://www.featech.com

http://www.fepese.ufsc.br

http://www.firstnightoceancounty.org

http://www.flashcorp.com

http://www.fleigutaetscher.ch

http://www.fludir.is

http://www.freeservers.com

http://www.FritoPie.NET

http://www.gamp.pl

http://www.gci-bln.de

http://www.gcnet.ru

http://www.generationnow.net

http://www.gfn.org

http://www.giantrevenue.com

http://www.glass.la

http://www.handsforhealth.com

http://www.hartacorporation.com

http://www.himpsi.org

http://www.idb-group.net

http://www.immonaut.sk

http://www.ims-i.com

http://www.innnewport.com

http://www.irakli.org

http://www.irinaswelt.de

http://www.jansenboiler.com

http://www.jasnet.pl

http://www.jhaforpresident.7p.com

http://www.jimvann.com

http://www.jldr.ca

http://www.justrepublicans.com

http://www.kencorbett.com

http://www.knicks.nl

http://www.kps4parents.com

http://www.kradtraining.de

http://www.kranenberg.de

http://www.lasermach.com

http://www.leonhendrix.com

http://www.magicbottle.com.tw

http://www.mass-i.kiev.ua

http://www.mepbisu.de

http://www.mepmh.de

http://www.metal.pl

http://www.mexis.com

http://www.mongolische-renner.de

http://www.mtfdesign.com

http://www.oboe-online.com

http://www.ohiolimo.com

http://www.onepositiveplace.org

http://www.oohlala-kirkland.com

http://www.orari.net

http://www.pankration.com

http://www.pe-sh.com

http://www.pfadfinder-leobersdorf.com

http://www.pipni.cz

http://www.polizeimotorrad.de

http://www.programmierung2000.de

http://www.pyrlandia-boogie.pl

http://www.raecoinc.com

http://www.realgps.com

http://www.redlightpictures.com

http://www.reliance-yachts.com

http://www.relocationflorida.com

http://www.rentalstation.com

http://www.rieraquadros.com.br

http://www.scanex-medical.fi

http://www.sea.bz.it

http://www.selu.edu

http://www.sigi.lu

http://www.sljinc.com

http://www.smacgreetings.com

http://www.soloconsulting.com

http://www.spadochron.pl

http://www.srg-neuburg.de

http://www.ssmifc.ca

http://www.sugardas.lt

http://www.sunassetholdings.com

http://www.szantomierz.art.pl

http://www.the-fabulous-lions.de

http://www.tivogoddess.com

http://www.tkd2xcell.com

http://www.topko.sk

http://www.transportation.gov.bh

http://www.travelchronic.de

http://www.traverse.com

http://www.uhcc.com

http://www.ulpiano.org

http://www.uslungiarue.it

http://www.vandermost.de

http://www.vbw.info

http://www.velezcourtesymanagement.com

http://www.velocityprint.com

http://www.vikingpc.pl

http://www.vinirforge.com

http://www.wecompete.com

http://www.worest.com.ar

http://www.woundedshepherds.com

http://www.wwwebad.com

http://www.wwwebmaster.com

Размножение по электронной почте

Письма с телом червя имеют следующий вид:

Тема письма выбирается из списка:

Re:

Re:Hello

Re:Hi

Re:Thank you!

Re:Thanks:)

Текст сообщения:

:)

:))

Имя присоединённого файла:

JOKE

PRICE

Расширение присоединённого файла:

COM

CPL

EXE

SCR

Адреса электронной почты, на которые производится рассылка и которые подставляются в качестве обратного адреса выбираются из файлов на дисках с расширениями: wab txt msg htm shtm stm xml dbx mbx mdx eml nch mmf ods cfg asp php pl wsh adb tbb sht xls oft uin cgi mht dhtm jsp.

Если в адресе электронной почты фигурирует подстрока из списка, приведённого ниже, то вирус игнорирует данный адрес (не отправляет на него инфицированные письма): @hotmail @msn @microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abuse panda cafee spam pgp @avp. noreply local root@ postmaster@

Размножение в сетях PeerToPeer (P2P)

Червь размножается в сетях P2P создавая свои копии во всех папках, в имени которых есть подстрока «shar». Имена создаваемых файлов выбираются из списка:

Microsoft Office 2003 Crack, Working.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New.exe

XXX hardcore images.exe

WinAmp 6 New.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Обновление, детектирующее и нейтрализующее данного червя, доступно для пользователей Украинского Антивирусного Центра. Рекомендуем всем пользователям произвести обновление и проверить системы на наличие вирусов.

Артур Скальский

© NewProm.ru

Интернет Мир

8044

29.10.2004, 22:16

URL: https://www.babr24.info/?ADE=17125

Bytes: 8223 / 8223

Версия для печати

Скачать PDF

Поделиться в соцсетях:

Также читайте эксклюзивную информацию в соцсетях:
- Телеграм
- ВКонтакте

Связаться с редакцией Бабра:
newsbabr@gmail.com

Последние новости

02.07 23:58
В Новосибирской области женщину признали виновной за мошенничества с пиломатериалами

02.07 23:54
В Новосибирске организованной группе дали срок за сбыт наркотиков

02.07 23:17
В Новосибирской области двум местным жителям назначили срок по делу о мошенничестве с материнским капиталом

02.07 23:08
В Новосибирской области три жителя пойдут под суд по делу о теракте

02.07 21:25
Инсайд. «Чего вы врёте?» — как Фёдор Бондарчук устроил разнос Минкульту Бурятии за закрытыми дверями

02.07 20:10
Инсайд. Почему сибиряки стоят в очередях, а Монголия без проблем получает дешёвый российский бензин?

02.07 19:39
Бурятия и Монголия обсудили новые направления сотрудничества

02.07 18:56
Пожар в жилом доме унес жизнь женщины в Иволгинском районе Бурятии

02.07 18:47
В Новосибирской области 20 тысячам жителей сделали перерасчет за вывоз ТКО

02.07 18:10
На КБЖД заметили медведицу с медвежатами

Лица Сибири

Серебряков Иван

Собканюк Екатерина

Вагнер Аарон

Яшин Михаил

Лукин Валерий

Назаров Валерий

Толстихин Дмитрий

Петрук Светлана

Колмаченко Василий

Кокоуров Игорь