Отправляет email-рассылки с помощью сервиса Sendsay

CompDoctor

  Все выпуски  

CompDoctor


 

CompDoctor

   Enter  .

 

Компьютер не подчиняется законам физики.

Только в нем глюки возникают из ничего, файлы исчезают в никуда,

а объем измеряется в метрах и называется весом.

 

Добрый день Вам и Вашему компьютеру!

 

Вирусы не дремлют:

 

Описание опубликовано 27 апр 2006
Поведение Email-Worm, почтовый червь

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Во вложение зараженного письма червь помещает не свою копию, а HTA-компоненту, которая содержит исполняемый файл червя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ.
 
При инсталляции червь копирует себя с именем csrss.exe в корневой каталог Windows:
%Windir%csrss.exe

После чего создает следующие записи в системном реестре:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "Application"="%Windircsrss.exe"
Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах.


При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем

Тема письма:

Выбирается из списка:

* Re: Где пропадаешь?
* Re: Как настроение?
* Re: Когда ты мне ответишь?
* Re: напиши мне
* Re: Позвони мне!
* Re: Ты где?
* Когда мне напишешь?
* Привет! Срочно напиши мне!
* Привет! Я сегодня жду тебя в сети!
* Привет, напиши мне!!!
* Привет, ты где?
* Приветик!!! Как настроение?
* Приветик, как твои делишки?
* Сегодня в интернете будешь?

Текст письма:

Выбирается из списка:

* Как только будешь в интернете напиши мне!!! Кстати программу которую ты просил, я вложил в письмо.... пока!
* Напиши мне в аську, окей? Кстати, держи программку, она теперь работает!
* Покеда!
* Пользуйся, я прикрепил её к письму...
* Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока.....
* Привет!
* Привет! Давно от тебя никаких новостей не слышно что-то... Ты где вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё забывал. Там всё просто, откроешь сразу разберешься. Удачи!!!
* Привет! Ты сегодня мне позвонишь????
* Привет, в интернете появился новый вирус, высылаю тебе заплатку...
* Привет, вот куда ты всё время пропадаешь???
* Приветик, как у тебя дела? Ты сегодня в интернет зайдешь?
* Установи, пока ещё твой компьютер не заразился. Пока! Напиши мне!
* Я завтра к тебе приеду, ок? Ты во сколько будешь дома?
* Я уже не могу ждать! Пока думаешь, посмотри программку, которую тебе прислала, ну как? Правда, здорово?

Имя файла-вложения:

Во вложение зараженного письма червь помещает не свою копию, а полиморфный HTA-компонент, который содержит исполняемый файл червя. После запуска вложенного файла создается файл с именем ntldr.exe в корне диска C: и запускается на исполнение. Созданный файл является копией червя.

Имя файла-вложения выбирается из списка:

* Важно.hta
* Документ.hta
* Новый Документ.hta
* Отчет.hta
* Пароли.hta
* Прикол!!.hta
* ПРОЧТИ!!!.hta
* Сообщение.hta
* Твое.hta

Действия

Червь соединяется со следующими удаленными серверами для загрузки других файлов без ведома пользователя:

http://207.**.250.119
http://84.**.161.192
http://85.249.**.35

Рекомендации по удалению

1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2. Удалите из системного реестра следующие записи:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Application"="%Windircsrss.exe"
3. Удалите следующие файлы:

%Windir%csrss.exe
C:ntldr.exe

4. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

                                                            www.viruslist.com

 

==========================================   

 

Анекдот по теме:

 

Приходит с работы программист и слышит, как его жена на кухне соседке объясняет:
на работе все они программисты, только вот дома — пользователи.

 

Давайте к всеобщему удовлетворению расширять наш виртуальный сomp-клуб. Сообщайте друзьям его адрес - http://subscribe.ru/catalog/country.il.comp       

И присылайте интересную для всех нас сomp-информацию.

 

           Юзерских Вам успехов и других!

 

                           Михаил Розов

                               CompDoc@narod.ru   


В избранное