Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 128 000 байт
Упакован: PEX, JDPACK, ASPACK
%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\Kernel66.dll (атрибуты "Только чтение", "Скрытый", "Системный")
%System%\WinHelp.exe
%System%\NetMeeting.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Shell Extension" = "%system%\spollsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
следующие записи:
"Hardware Profile"="%System%\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%System%\WinHelp.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"SystemTra"="%Windir%\Systra.exe",
обеспечивая тем самым свою загрузку в Win9x/Me.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="RAVMOND.exe"
%System%\ODBC16.dll
%System%\Msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
Эти файлы представляют собой backdoor-компоненты червя.
results.txt
win2k.txt
winxp.txt
Выполнение backdoor-процедуры: открывается порт ТСР 6000. Украденная информация записывается в C:\Netlog.txt, после чего передаётся атакующему.
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
В случае успеха червь осуществит попытку создать свою копию:
\\
.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail failed. For further assistance, please contact!
Червь сканирует все диски и, если диск оказывается сменным или диск является жёстким с буквой выше E:, червь меняет расширения исполняемых файлов с .exe на .zmx, меняет атрибуты этих файлов на Hidden и System и копирует себя с оригинальным именем поражённого файла.
1. Отключить компьютер от локальной сети и/или Интернета. Остановить все запущенные сетевые службы.
2. Проверить компьютер антивирусной утилитой Dr.Web CureIt! в Безопасном режиме (Safe Mode). Для всех поражённых файлов выбрать действие "Лечить"
3. Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).
