Авторы
W32/XTC@MM (aka I-Worm.XTC) — опасный интернет червь, содержащий backdoor-компонент. Червь распространяется через интернет посредством электронной почты и попадает на компьютер в виде присоединенного к письму зашифрованного и сжатого выполняемого файла. Также червь может распространять себя по локальной сети через ресурсы, открытые для совместного использования.
Червь имеет способность эволюционировать, используя Internet Relay Chat и FTP-протокол для получения через интернет своих обновлений.
Письмо, содержащее червя имеет следующий вид:
От кого: support@avx.com
Тема сообщения: AVX update notification
Тело сообщения:Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It’s small, it’s efficent, it’s secure and powerful. No special licence is needed, it’s freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.
Best regards,
AVX developement team.Присоединенный файл: SERVICES.EXE
При открытии присоединенного файла, червь активизируется и начинает на инфицированной машине свою зловредную деятельность:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunXTCUpdate=C:WINDOWSSERVICES.EXE
- инициировать DDoS-атаку («отказ в обслуживании»)
- отправлять червя по определенному email-адресу
- деинсталлировать червя
- загружать выполняемые файлы и запускать их
- запускать IRC-команды
- извлекать необходимую информацию, например имя компьютера «жертвы»
- изменять заданную по умолчанию стартовую страницу в Internet Explorer
- создавать и удалять директории и файлы
- запускать программы
Для дополнительной информации по «троянским коням» см. Backdoor.BO
Авторы
От тех же авторов
В той же категории
XTC — новый интернет-червь по совместительству является «троянским конем»