Вирусы I-Worm.GOPworm и Trojan.PSW.GOPtrojan

I-Worm.GOPworm

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также распространяется по локальной сети, копируя себя на
доступные сетевые диски. Червь является приложением Windows (PE EXE-файл), имеет размер около 60K (упакован UPX), написан на Microsoft Visual C++.

Червь является усовершенствованной модификацией троянца {«GOPtrojan»:Trojan_PSW_GOPtrojan}.

Заголовок и текст письма написаны по-китайски. Имя вложения не фиксировано и имеет двойное расширение:

filename.jpg.exe
filename.jpeg.exe
filename.gif.exe
filename.txt.exe
filename.doc.exe
filename.rtf.exe
filename.bmp.exe

Для запуска из заражённых писем червь использует брешь в защите IFrame.

При запуске троянец инсталлирует себя в систему так же, как и «GOPTrojan», а также изменяет ключ реестра:

HKCRexefileshellopencommand

Для отсылки заражённых сообщений червь использует прямое соединение с SMTP сервером. Червь ищет адреса электронной почты, сканируя файлы с расширениями *.HTML, *.HTM, *.JS, а также почтовые базы TheBat, Aerofox и RimArts, и отсылает по этим адресам заражённые сообщения.

Trojan.PSW.GOPtrojan

Эта программа относится к семейству «троянских коней», ворующих системные пароли (см.описание семейства). Скорее всего, троянец создан в Китае.

Данный троянец ворует пароли OICQ (китайский аналог ICQ?).

При запуске троянец инсталлирует себя в систему: копирует в главный каталог Windows, системный каталог Windows или временную папку и регистрирует в системном реестре в секции авто-запуска. Например:

Имя файла-троянца: WINDOWSSYSTEMwinzipauto.exe
Ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
WindowsAgent = winzipauto.exe

Для получения паролей OICQ троян использует дополнительную библиотеку (DLL).

Имя библиотеки, файла-троянца, каталог установки и ключ реестра являются опциональными и могут быть изменены злоумышленником перед рассылкой троянского файла. Все эти значения хранятся в конце троянского файла в зашифрованном виде.

Также, троянец может опционально выполнять следующие действия:

• показывать сообщение с заданным текстом
• удалять свою оригинальную копию после установки в системе
• отсылать сообщения по заданному e-mail адресу (по умолчанию —
  goicq@sina.com), через заданный SMTP сервер (по умолчанию —
  smtp.sina.com.cn)

Троянец затем регистрирует себя как скрытое приложение (сервис) и невидим в списке задач. Троянец также создает дополнительный DLL-файл, основной задачей которого является слежение за текстом, который пользователь набирает на клавиатуре. Троянец периодически отсылает собранную информацию на электронный адрес злоумышленника (этот адрес также опционален).

Известны «усовершенствованные» версии троянца, которые рассылают свои копии по электронной почте, и поэтому являются червями.