"Червей" накопали - пора на рыбалку

Navidad - интернет-червь со вполне безобидной сущностью. Распространяется по почте. Письмо содержит вложенный файл NAVIDAD.EXE, размер - около 32 Kb. При запуске файла выводится сообщение: "Никогда не нажимайте эту кнопку":

После этого появляется иконка "синий глаз" в трее:

Червячок не забывает уютно обустроиться в системе: скопировать себя в системный каталог Windows под именем WINSVRC. VXD и зарегистрироваться в системном реестре. При регистрации он указывает WINSVRC.EXE вместо WINSVRC.VXD и больше запускаться не желает:).

Navidad создает следующие ключи в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\Win32BaseServiceMOD = %SystemDir%\winsvrc.exe; HKCR\exefile\shell\open\command\{Default} = %SystemDir%\winsvrc.exe %1 %*; HKCU\Software\Navidad.

Безобидная, на первый взгляд, ошибка "EXE-VXD" приводит к полной неработоспособности компьютера - ни один EXE-файл не может быть выполнен, Windows упрямо выводит сообщение об ошибке. Однако вирус можно легко удалить вручную. Поскольку REGEDIT.EXE не запускается, необходимо переименовать REGEDIT.EXE в REGEDIT.COM, запустить REGEDIT.COM и установить ключ HKCR\exefile\shell\ open\command в стандартное значение: "%1" %*.

Следующий экспонат в обзоре - обладатель мелодичного названия Music - имеет все шансы стать эпидемией. Это интернет-червь, рассылающий себя в письмах по электронной почте. При запуске тщательно маскируется, скрывая свою активность, и пытается усыпить бдительность пользователя показом рождественских картинок и напеванием всем известной мелодии.

Письма, содержащие I-Worm. Music, имеют следующие заголовок и текст письма:

Subject: Testing to send file

Text: Hi, just testing email using Merry Christmas music file, not bad music.

или:

Text: Hi, just testing email using Merry Christmas music file, you'll like it.

Червь состоит из трех компонентов: Dropper, Sender и библиотеки WinSock.

  1. Dropper рассылается червем в электронных письмах. При запуске он копирует себя в системный каталог Windows под именем SYSMCM.EXE и регистрирует этот файл в ключе авто-запуска:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SysDrv= %SystemDir%\sysmcm.exe.
    Этот компонент открывает два интернет-сайта, скачивает оттуда остальные компоненты червя (Sender и WinSock) и копирует их в каталог Windows\System под именами SYSDRV.EXE и SYSTMP.DLL.
  2. Sender при запуске считывает адреса электронной почты из адресной книги Windows (Windows Address Book), а затем рассылает по ним зараженные сообщения. Sender содержит следующий текст:
    Hi, tracing this file? It's a very friendly program, it do nothing harm to your system. In fact I hate a file like this, but the bad thing is I cant find a job, and I need to rent my basement room, I only hope this file could help me to make my both ends meet. Thanks & regards.
    -- The author, Nov 08, 2000.
  3. WinSock используется червем для установки интернет-соединения.

Функциональность вируса, как и вируса Hybris, во многом определяется обновлениями на сайте и фантазией создателя.

Для хранения данных червь создает в реестре следующие ключи:

HKLM\Software\Microsoft\MCM\FirstRun; LastRun; RunMCM; Status; SMTP; Version = 001111

Максим ШИМАНСКИЙ,
[email protected],
БИА "Веспол"

Версия для печатиВерсия для печати

Номер: 

49 за 2000 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!