Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 130 - 148 Кбайт, 10-30 Кбайт

Упакован: Upack, UPX

Техническая информация

Распространяется в виде писем с вложениями.

Тема письма может быть следующей:

Server Report
Status
Error
Test
Mail Delivery System
Mail server report
Mail Transaction Failed
Good day
picture
Hello

Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением.

Имя вложения может быть следующим:

1. Update-KB[число]-х86 с расширением ZIP или EXE.
2. test, body, docs, doc, test, text, readme, file, document, data

Тело письма содержит текст:

------------------------------------
Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service
--------------------------------------
Mail transaction failed. Partial message is available.
--------------------------------------
The message contains Unicode characters and has been sent
as a binary attachment.
---------------------------------------
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
---------------------------------------
Dear Sir/Madam,

We have logged a fraud activity from the IP-address belonging to your computer at more than 17 Web-sites and have received abuses from several companies.

The abuse copy is sent as an attachment to this letter. Please learn this.

We have added our utilite that would help you to find and remove any spyware from your PC. If you were not lucky using another software, please try this one.

Yours faithfully
Steven Cooper
---------------------------------------

В зависимости от типа вложения в письме при своём запуске червь выпоняет:

1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).

В зависимости от своей модификации при своём запуске червь создаёт следующие файлы:

%WinDir%serv.exe (148 621 байт)
%WinDir%serv.s (148 621 байт)
%WinDir%system32serv.dll (7 680 байта)
%WinDir%system32e1.dll (8 704 байта)
%WinDir%system32jgmdmsxm.dll (28 672 байта)
%WinDir%system32 etacdmo.dll (20 480 байт)
%WinDir%system32 sd3rasd.exe (16 384 байта)
%WINDIR%System32wupstInt.dll (28672 байт)
%WINDIR%System32cssewmpd.exe (16384 байт)
%WINDIR%System32 egaufat.dll (24576 байт)

Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.

Червь маскирует свои процессы.

Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения".

Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе.

Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре:

HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun
"serv" = C:Windowsserv.exe s

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows
"AppInit_DLLs" = wupstInt.dll e1.dll

Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами.

Рекомендации по восстановлению системы

1. Отключить "Восстановление системы".
2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
4. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:

Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

Источник: drweb.com.

перейти в архив