Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Tanatos - wieloczęściowy robak

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanych wiadomości e-mail. Ponadto szkodnik rozsyła się w sieci lokalnej i uruchamia procedurę backdoor oraz konia trojańskiego kradnącego hasła. Robak ma postać pliku PE EXE o rozmiarze około 50 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++. Zainfekowane wiadomości mogą posiadać różne tematy, treści oraz nazwy załączników.

Robak rozprzestrzenia się w dwóch typach wiadomości. W pierwszym przypadku wykorzystywana jest luka w zabezpieczeniach (IFrame), umożliwiająca wirusowi automatyczne uruchomienie się podczas przeglądania zainfekowanej wiadomości. W drugim przypadku szkodnik aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Instalacja

Podczas instalacji szkodnik kopiuje się do systemowego folderu Windows z losową nazwą i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Nazwa pliku robaka jest zależna od nazwy woluminu C:.

Dodatkowo wirus umieszcza w systemowym folderze Windows plik DLL i wykorzystuje go w celu przechwytywania tekstów wpisywanych przez użytkownika z klawiatury.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z serwerem SMTP. Adresy "ofiar" pobierane są z następujących typów plików: *.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX, *INBOX*.

Temat zainfekowanej wiadomości może być wybierany spośród następujących możliwości:

Greets!; Get 8 FREE issues - no risk!; Hi!; Your News Alert; $150 FREE Bonus!; Re:; Your Gift; New bonus in your cash account; Tools For Your Online Business; Daily Email Reminder; News; free shipping!; its easy; Warning!; SCAM alert!!!; Sponsors needed; new reading; CALL FOR INFORMATION!; 25 merchants and rising; Cows; My eBay ads; empty account; Market Update Report; click on this!; fantastic; wow!; bad news; Lost & Found; New Contests; Today Only; Get a FREE gift!; Membership Confirmation; Report; Please Help...; Stats; I need help about script!!!; Interesting...; Introduction; various; Announcement; history screen; Correction of errors; Just a reminder; Payment notices; hmm..; update; Hello!;

Treść wiadomości jest pobierana z losowo wybranego pliku, zapisanego na twardym dysku zainfekowanego komputera.

Nazwa załącznika również jest losowa i może posiadać podwójne rozszerzenie.

Rozprzestrzenianie: sieć lokalna

Robak szuka zasobów sieciowych udostępnionych w trybie zezwalającym na zapis i umieszcza na nich swoje kopie.

Ponadto szkodnik wysyła swoje kopie do drukarek udostępnionych w sieci lokalnej.

Backdoor

Procedura backdoor otwiera port 36794 i nasłuchuje oczekując na polecenia zdalnego użytkownika, który może kontrolować zainfekowaną maszynę.

Ponadto szkodnik otwiera na zainfekowanej maszynie serwer HTTP, co pozwala na zdalne kontrolowanie komputera przy użyciu graficznego interfejsu.

Kradzież haseł

Robak wyposażony jest w funkcję wysyłającą informacje o użytkowniku zainfekowanego komputera oraz o jego hasłach.

Funkcje dodatkowe

Robak podejmuje próby zamknięcia następujących aplikacji:

ZONEALARM.EXE; WFINDV32.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE; VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE; TCA.EXE; TBSCAN.EXE; SWEEP95.EXE; SPHINX.EXE; SMC.EXE; SERV95.EXE; SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE; RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVSCHED.EXE; PAVCL.EXE; PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE; NMAIN.EXE; NISUM.EXE; NAVWNT.EXE; NAVW32.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE; N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EXE; LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE; ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE; IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FRW.EXE; FPROT.EXE; FP-WIN.EXE; FINDVIRU.EXE; F-STOPW.EXE; F-PROT95.EXE; F-PROT.EXE; F-AGNT95.EXE; ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; DVP95.EXE; CLEANER3.EXE; CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE; CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE; AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPM.EXE; AVPDOS32.EXE; AVPCC.EXE; AVP32.EXE; AVP.EXE; AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE; AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; _AVPM.EXE; _AVPCC.EXE; _AVP32.EXE



 2002-10-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych