Navidad - интернет-червь со вполне безобидной сущностью. Распространяется по почте. Письмо содержит вложенный файл NAVIDAD.EXE, размер - около 32 Kb. При запуске файла выводится сообщение: "Никогда не нажимайте эту кнопку":
После этого появляется иконка "синий глаз" в трее:
Червячок не забывает уютно обустроиться в системе: скопировать себя в системный каталог Windows под именем WINSVRC. VXD и зарегистрироваться в системном реестре. При регистрации он указывает WINSVRC.EXE вместо WINSVRC.VXD и больше запускаться не желает:).
Navidad создает следующие ключи в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\Win32BaseServiceMOD = %SystemDir%\winsvrc.exe; HKCR\exefile\shell\open\command\{Default} = %SystemDir%\winsvrc.exe %1 %*; HKCU\Software\Navidad.
Безобидная, на первый взгляд, ошибка "EXE-VXD" приводит к полной неработоспособности компьютера - ни один EXE-файл не может быть выполнен, Windows упрямо выводит сообщение об ошибке. Однако вирус можно легко удалить вручную. Поскольку REGEDIT.EXE не запускается, необходимо переименовать REGEDIT.EXE в REGEDIT.COM, запустить REGEDIT.COM и установить ключ HKCR\exefile\shell\ open\command в стандартное значение: "%1" %*.
Следующий экспонат в обзоре - обладатель мелодичного названия Music - имеет все шансы стать эпидемией. Это интернет-червь, рассылающий себя в письмах по электронной почте. При запуске тщательно маскируется, скрывая свою активность, и пытается усыпить бдительность пользователя показом рождественских картинок и напеванием всем известной мелодии.
Письма, содержащие I-Worm. Music, имеют следующие заголовок и текст письма:
Subject: Testing to send file
Text: Hi, just testing email using Merry Christmas music file, not bad music.
или:
Text: Hi, just testing email using Merry Christmas music file, you'll like it.
Червь состоит из трех компонентов: Dropper, Sender и библиотеки WinSock.
- Dropper рассылается червем в
электронных письмах. При
запуске он копирует себя в
системный каталог Windows под
именем SYSMCM.EXE и регистрирует
этот файл в ключе авто-запуска:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SysDrv= %SystemDir%\sysmcm.exe.
Этот компонент открывает два интернет-сайта, скачивает оттуда остальные компоненты червя (Sender и WinSock) и копирует их в каталог Windows\System под именами SYSDRV.EXE и SYSTMP.DLL. - Sender при запуске считывает
адреса электронной почты из
адресной книги Windows (Windows Address
Book), а затем рассылает по ним
зараженные сообщения. Sender
содержит следующий текст:
Hi, tracing this file? It's a very friendly program, it do nothing harm to your system. In fact I hate a file like this, but the bad thing is I cant find a job, and I need to rent my basement room, I only hope this file could help me to make my both ends meet. Thanks & regards.
-- The author, Nov 08, 2000. - WinSock используется червем для установки интернет-соединения.
Функциональность вируса, как и вируса Hybris, во многом определяется обновлениями на сайте и фантазией создателя.
Для хранения данных червь создает в реестре следующие ключи:
HKLM\Software\Microsoft\MCM\FirstRun; LastRun; RunMCM; Status; SMTP; Version = 001111
Максим ШИМАНСКИЙ,
[email protected],
БИА "Веспол"
Горячие темы