В Сети завелся новый червяк — «Silver»

Лаборатория Касперского предупреждает об опасном интернет-черве «I-Worm.Silver». Червь распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер
около 90K (файл червя, однако, может быть встречен в упакованном виде, т.е. его размер может оказаться меньше указанного).

При рассылке писем со своей копией червь использует два метода. Во-первых, он ищет почтовую систему Eudora и, если она обнаружена, использует ее для рассылки писем. Для этого червь открывает файл отправляемых сообщений OUT.MBX, сканирует его, выделяет почтовые адреса и рассылает по ним письма, поля которых выглядят следующим образом:

Заголовок: concerning last week …
Текст: Please review the enclosed and get back with me ASAP.
Double click the Icon to open it.

Имя вложения: c:silver.exe

Во-вторых, червь пытается использовать установленную почтовую систему вне зависимости от ее имени. Для этого червь отрывает MAPI-соеднение с почтовой системой, перебирает все письма, выделяет из них почтовые адреса и
рассылает по ним сообщения:

Заголовок: Re: now this is a nice pic 🙂
Текст: Thought you might be interested in seeing her
Имя вложения: naked.jpg.exe

Для заражения IRC-клиентов червь записывает специальные скрипт-программы в каталоги IRC-клиентов C:MIRC, C:MIRC32, C:PIRCH98 (если таковые есть).
Скрипт-программа червя затем передает его копию всем пользователям, подключающимся к зараженному IRC-каналу.

Для заражения компьютеров в локальной сети червь перебирает все доступные диски (от C: до Z:), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле
WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом червь способен заражать удаленные компьютеры, если их диски открыты на полный доступ.

Червь ищет активные приложения-антивирусы и выгружает их из памяти по именам:

AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
ZoneAlarm
WRQ NAMApp Class

Червь также ищет файлы данных антивирусов и удаляет их:

*.AVC (AVP)
*.DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Червь также пытается (по причине ошибки — безуспешно) заразить VBS-файлы.

Более подробное техническое описание I-Worm.Silver см. здесь.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *