Червь Newbiero

Вирус-червь. Распространяется по локальным сетям. Содержит функции «бекдор» и DDoS. Червь является приложением Windows (PE EXE-файл), имеет размер около 160K написан на Microsoft Visual C++.

При запуске червь копирует себя со случайным именем (например, AGCMJL.EXE, CBICAR.EXE) в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Diagnostic = %случайное имя%

Затем червь удаляет свой файл (из которого был запущен).

Червь также создает в системном каталоге Windows файл MSSE.INI, который идентифицирует зараженные компьютеры. Червь использует этот файл для предотвращения повторного заражения компьютеров в сети.

Распространение

Червь сканирует IP-адреса локальной сети и пытается подключиться к обнаруженным компьютерам. Если на компьютере-жертве диск открыт на запись, то червь копирует себя на данный компьютер в каталог авто-запуска Windows:

WINDOWSStart MenuProgramsStartUpmssg.exe

Если Windows остановлена в каталоге с другим именем, то заражения не происходит.

Бекдор

Данная процедура позволяет удаленно управлять зараженным компьютером и выполнять следующие действия:

• скачивать на компьютер другие EXE-файлы и запускать их
• запускать уже существующие файлы
• выгружать Windows, перезагружать компьютер
• выполнять DoS-атаки (Denial of Service)
• передавать RAS-информацию (логины, пароли)

Прочее

Червь пытается выгрузить следующие FireWall-ы:

Sygate Personal Firewall
Tiny Personal Firewall
ZoneAlarm Pro
ZoneAlarm

Если присутствует файл «c:logging.ini», то червь ведет логи своих действий в файлах:

c:logsmisc.log
c:logsIPreport.log
c:logsips.log
c:logsrecived.log
c:logsyey.ini
c:logsscan.log
c:logsinfections.log
c:logsservmsg.log
c:logsFetchreport.log
c:logsopt.abc
c:logsabc.cba
c:online.log