Архив

I-Worm.Hydra: новый интернет-червь может поработать у вас секретарем

I-Worm.Hydra — интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 12-килобайтной Win32-программой (упакован, после распаковки размер червя — 26K). Написан на Visual Basic.

При запуске (если пользователь «кликнет» на файле-вложении) червь копирует себя в каталог Windows с именем MSSERV.EXE и регистрирует его в ключах авто-запуска системного реестра.

Червь остается в памяти Windows как невидимое приложение-сервис, подсоединяется к MS Outlook и регистрирует себя как обработчик событий MS Outlook. Червь обрабатывает два события MS Outlook: получение нового письма
(«NewMail») и отправку писем («ItemSend»).

При получении нового письма червь проверяет, а не является ли это письмо его собственным письмом с другого компьютера. Для проверки червь берет первый
вложенный в письмо файл (если такой есть) и проверяет его размер. Если размер вложения совпадает с длиной файла-червя, то червь считает, что это — его собственное письмо и удаляет его.

При отсылке писем с зараженного компьютера червь либо вкладывает в письмо свою копию со случайным 8-символьным EXE-именем (если в письме нет вложенных файлов), либо замещает первый вложенный файл своей копией. При этом
имя вложения остается без изменений, а расширение заменяется на .EXE.

По 13-м пятницам с 13:00 до 14:00 червь также записывает в начало текста отправляемых писем строку:

[I-Worm.Hydra] …by gl_st0rm of [mions]

Для того, чтобы скрыть свое присутствие и усложнить удаление файла-червя и измененных ключей реестра, червь удаляет файл MSCONFIG.EXE в системном каталоге Windows, ищет активные приложения и выгружает их из памяти Windows:

«AVP Monitor»
«AntiVir»
«Vshwin»
«F-STOPW»
«F-Secure»
«vettray»
«InoculateIT»
«Norman Virus Control»
«navpw32»
«Norton AntiVirus»
«Iomon98»
«AVG»
«NOD32»
«Dr.Web»
«Amon»
«Trend PC-cillin»
«File Monitor»

«Registry Monitor»
«Registry Editor»
«Task Manager»

Червь также удаляет антивирусные базы «Антивируса Касперского».

Подробнее о черве Hydra читайте в Вирусной Энциклопедии Касперского.

I-Worm.Hydra: новый интернет-червь может поработать у вас секретарем

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике