Email-Worm.Win32.Scano.as

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Scano.as Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Программа является приложением Windows (PE EXE-файл). Имеет размер 21 276 байт. Упакована при помощи WinUpack. Распакованный размер около 84 КБ. Написана на C++.

Содержание

Инсталляция

При запуске червь проверяет, запущен ли он под эмулятором VmWare. Если это так – прекращает свою работу. Дальше происходит проверка, запущен ли червь под ОС семейства 9x (Windows Me, Windows 98 или Windows 95). В этом случае также происходит завершение его работы. После инсталляции червь проверяет, запущен ли он из корневого каталога Windows. Если это не так, то выполняются следующее действия: Червь генерирует и устанавливает системную дату, где значение года равно 2000..2003, месяца – 1..10, дня месяца – 1..28, времени суток – 11..14, минут – 0..59, секунд – 0..59. При инсталляции червь копирует себя с именем "csrss.exe" в корневой каталог Windows: 

%WinDir%\csrss.exe

Выполняется восстановление предварительно сохраненной системной даты. Происходит запуск скопированной копии вируса и завершение текущей копии вируса. При запуске из корневого каталога Windows происходит поиск подстроки "xplorer." в командной строке. Если такая подстрока была обнаружена, то выполняется запуск проводника Windows (explorer.exe) и регистрация автозапуска червя при следующем стареет: 

[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%WinDir%\csrss.exe"

в случае неудачи создания такого ключа, используется следующий ключ (автозапуск при перезагрузке Windows): 

[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run]
"Application" = "%WinDir%\csrss.exe"

после чего происходит завершение работы вредоноса.

Деструктивная активность

В случае запуска из корневого каталога Windows, не нахождения в командной строке подстроки "xplorer.", червь создает поток. В этом потоке, с помощью процесса services, происходит запуск файла червя из корневого каталога Windows: 

services %WinDir%\csrss.exe

и внедрение в этот процесс services.exe двух процедур:

  1. Проверяет значение указанного ниже ключа и восстанавливает его значение в случае отсутствия или изменения:
    2. [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%WinDir%\csrss.exe"

также удаляет ключи: 

[HKLM\System\ControlSet002\Control\Session Manager\PendingFileRenameOperations]

(разрешение операций переименования системных файлов) 

[HKLM\System\ControlSet002\Control\Session Manager\BootExecute]

(одна или несколько команд, которые Диспетчер сеансов выполняет перед загрузкой сервисов)

  1. Производит сохранение тела червя на диск под тем именем и в том же каталоге, откуда он был запущен. Дальше происходит запуск программы проверки файлов, которая выполняет проверку всех защищенных системных файлов и замену неправильных версий (из каталога %System%\dllcache) правильными версиями:
    2. sfc /scannow

Червь с помощью процесса "svchost" запускает файл из корневого каталога Windows: 

svchost %WinDir%\csrss.exe

внедряет в процесс "svchost.exe" процедуры, генерирующие и отправляющие почтовые сообщения. Далее червь осуществляет следующие действия:

  • Путем чтения всех ключей раздела реестра:
    • [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]

происходит получение всех адресов серверов имен (DNS).

  • При нахождении адреса, отличного от "127.0.0.1", червь считает, что существует подключение в Интернет.
  • Происходит генерация файла "Message.hta" во временном каталоге Windows:
    • %Temp%\Message.hta

Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который производит расшифровку тела вируса, сохраняет его в корневой каталог диска C: под произвольно сгенерированным именем.

  • Происходит создание потока. В потоковой процедуре каждые 250 миллисекунд происходит поиск окон с классом окна "TMsgEditor", "ATH_Note" (окна почтового клиента “TheBAT!”), и путем имитации работы пользователя происходит добавление сгенерированного файла в качестве аттача всем создаваемым письмам.
  • Происходит проверка количества вызовов в текущий день.

Для этого осуществляется чтение текущего дня месяца из ключа реестра, где он хранится в зашифрованном виде: 

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Application]

и сравнение с текущим днем месяца. Если они различны, то производится генерирование текста письма.

  • Происходит получения файла, содержащего зашифрованные URL путем выполнения HTTP-запроса:
    • http://xese*****.com/m2/g.php

Дальше червь производит их расшифровку, получает данные по этим адресам, причем по первому адресу расположен исполняемый файл, который сохраняется в текущем каталоге под именем 1.exe и производится его запуск: 

http://81.9*****.155/nu/s2.php
http://81.9*****.155/nu/mdp.php
http://81.9*****.155/gt6/ugk.php  (на момент создания описания ссылки не работали)
  • Производится рекурсивный поиск, по всем жестким дискам, каталогов с именами:

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
shar
source
upload
pub
  • в них производится сохранение тела червя. Имя файла червя состоит из одной строки из списка:

1001 Sex and more.rtf
3D Studio Max 6 3dsmax
ACDSee 10 full
Adobe Photoshop 10 full
Adobe Premiere 10
Ahead Nero 8
Altkins Diet.doc
American Idol.doc
Arnold Schwarzenegger.jpg
Best Matrix Screensaver new
Britney sex xxx.jpg
Britney Spears and Eminem porn.jpg
Britney Spears blowjob.jpg
Britney Spears cumshot.jpg
Britney Spears fuck.jpg
Britney Spears full album.mp3
Britney Spears porn.jpg
Britney Spears Sexy archive.doc
Britney Spears Song text archive.doc
Britney Spears.jpg
Britney Spears.mp3
Clone DVD 6
Cloning.doc
Cracks & Warez Archiv
Dark Angels new
Dictionary English 2004 - France.doc
DivX 8.0 final
Doom 3 release 2
E-Book Archive2.rtf
Eminem blowjob.jpg
Eminem full album.mp3
Eminem Poster.jpg
Eminem sex xxx.jpg
Eminem Sexy archive.doc
Eminem Spears porn.jpg
Eminem.mp3
Full album all.mp3
Gimp 1.8 Full with Key
Harry Potter 1-6 book.txt
Harry Potter 5.mpg
Harry Potter all e.book.doc
Harry Potter e book.doc
Harry Potter game
Harry Potter.doc
Harry Potter and the Sorcerer's Stone game
How to hack new.doc
Internet Explorer 9 setup
Kazaa Lite 4.0 new
Kazaa new
Keygen 4 all new
Learn Programming 2004.doc
Lightwave 9 Update
Magix Video Deluxe 5 beta
Matrix 3 .mpg
Microsoft Office 2003 Crack best
Microsoft WinXP Crack full
MS Service Pack 6
source code
Norton Antivirus 2005 beta
Opera 11 free
Partitionsmagic 10 beta
Porno Screensaver britney
RFC compilation.doc
Ringtones.doc
Nostradamus.doc
World Trade Center last video.mpeg
anthrax.doc
Osama Bin Laden.jpg
Taliban
Osama bin Laden.mpg
Yellow Pages
Ringtones.mp3
Saddam Hussein.jpg
Screensaver2
Serials edition.txt
Smashing the stack full.rtf
Star Office 9
Teen Porn 15.jpg
The Sims 4 beta
Ulead Keygen 2004
Visual Studio Net Crack all
Vista review.doc
WinAmp 13 full with sources
Windows Vista Sourcecode.doc
Windows 2003 crack
Windows XP crack
WinXP eBook newest.doc
XXX hardcore pics.jpg

� и одного из расширений: 

    2. .exe
.pif
.scr

� Червь ищет в системе файл "c:\ntldr", если такой был найден, то созданному файлу червя устанавливается: время создания, время изменения, время доступа, такие же, как у файла "c:\ntldr". Для всех файлов, найденных в этих каталогах, происходит сравнение на соответствие расширения: � 

.adb
.asp
.cfg
.cgi
.mra
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
.dhtml

и если это так, то происходит рассылка тела вируса в сгенерированных письмах в виде вложения (упомянутого ранее файла Message.hta из временного каталога Windows) по найденным адресам, если они не входят в список ниже: � 

@example.
2003
2004
2005
2006
@microsoft
rating@
f-secur
news
update
.qmail
.gif
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
0000
Mailer-Daemon@
@subscribe
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
torvalds@
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
spm111@
.00
---
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@0
.1
.2
.3
.4
.5
.6
.7
.8
.9

� В процессе работы вируса используется следующий ключ для хранения параметров червя: 

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\x]

Характеристики зараженных писем

Заголовки писем: 

Hi, what's up?
He, where are you?
Hi, drop me a line!!!
Hi! Please write to me urgently!
Hi! I'm waiting you online today!
Will you be online today?
When you're gonna answer me?
Re: write to me!
Re: Call me!
Re: Where are you?
Re: When you're gonna answer me?
Hi!!! How's the mood?
Re: How's the mood?
Re: Where have you been?

Текст писем: 

Hi!!!!!  You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

Hi, what's up? Will you show up online today?
Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

Hi! I'm coming to you tomorrow, ok? When you are going to be home?
You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

Hi! You disappeared again. If you come online, drop me a line, ok?
Btw, I sent you those docs that you've been looking for. Check them out. Bye!

Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

Hi, I found that program you asked for. Find it attached. Bye.

Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...

What's up! You haven't been writing for a long time: I got news. I've finally that program you needed: I'm sending it out. Use it. Bye!

Hi, drop me a line today, ok? And see the program I'm sending. Bye!

Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.

Файл-приложение назван одним из следующих имен: 

Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить зараженные процессы
    2. services.exe
svchost.exe
  2. Удалить все копии червя на жестком диске.
  3. В редакторе реестра удалить ключи реестра:
    4. [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application]

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\x]
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Scano.as»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.