Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Avron - kradnie hasła

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz na udostępnionych dyskach sieciowych, wyposażony w procedurę kradnącą hasła. Szkodnik ma postać pliku PE EXE o rozmiarze około 26 KB (po rozpakowaniu około 57 KB) i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Instalacja

Podczas instalacji robak kopiuje się z losową nazwą (przykładowo 2dadd52doc.ex, ef23h672.exe) do systemowego folderu Windows i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mortimer = %nazwa pliku robaka%

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy "ofiar" z bazy danych WAB oraz z plików DBX, MBX, WAB, HTML, EML, HTM, ASP, SHTML.

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje połączenie z domyślnym serwerem SMTP.

Pole "Od" zainfekowanych wiadomości zawiera prawdziwy adres nadawcy (znaleziony w powyższych plikach) lub losowy adres wybierany spośród następujących możliwości:

  • IIS Exchange Board
  • IREX/ORG
  • RART Team
  • Stimon online
  • Rudolf Ginsberg
  • Avril Lavigne
  • ACTR/Accels general@actr.org

Temat wiadomości jest wybierany spośród następujących możliwości:

  • Fw: IREX Fields Description
  • Re: ACCELS Awards results for 2003
  • Re: Avril Fans will rock you
  • Fw: Avril Lavigne - the best
  • Re: Antique themes
  • Re: ACTR/ACCELS Transcriptions

Treść wiadomości ma format HTML i jest wybierana spośród następujących możliwości:

  • EDUCATIONAL PURPOSE
    Avril fans subscription
    I wish you the sweetest thing

  • Restricted area response team (RART)
    Attachment you sent to %random worm% is really good :-)
    Well done!
    SMTP session error #450: service not ready

  • >>See this in attached files
    >>New PICS of Avril Lavigne!!!
    >>It is honourable when you do it!!!

Nazwa załącznika jest wybierana spośród następujących możliwości:

  • Resume.exe
  • ACTR_Form.exe
  • AvrilFans.exe
  • PDF_Desc.exe
  • XXX_Teens.exe
  • Transcripts.exe
  • Readme.exe
  • AvrilSmiles.exe

Podczas rozprzestrzeniania się robak tworzy plik "NewBoot.sys" w folderze tymczasowym.

Szkodnik zapisuje listę zgromadzonych adresów e-mail w pliku "listrecp.dll" znajdującym się w folderze Windows.

W niektórych przypadkach robak wykorzystuje lukę w zabezpieczeniach zwaną "IFRAME", która pozwala na automatyczne uruchomienie załącznika wiadomości e-mail podczas jej przeglądania.

Rozprzestrzenianie - sieć lokalna

Robak kopiuje się z losowymi nazwami do folderów \RECYCLED zapisanych na wszystkich dostępnych dyskach sieciowych. W przypadku braku tego folderu wirus kopiuje się do folderu głównego.

W celu uruchomienia się na atakowanej maszynie, robak dodaje do pliku AUTOEXEC.BAT komendę aktywującą go podczas kolejnego startu systemu operacyjnego.

Procedura kradnąca hasła

Procedura ta gromadzi hasła przechowywane w zainfekowanym systemie i wysyła je pod adres otto_psws@pochta.ws, w wiadomości e-mail zatytułowanej "Password Got".

Funkcja dodatkowa

7 i 24 dnia każdego miesiąca robak uruchamia procedurę, która losowo przesuwa kursor na ekranie i otwiera stronę WWW.

Informacje dodatkowe

Robak podejmuje próby wyłączania aktywnych programów antywirusowych oraz zapór ogniowych.

Ponadto szkodnik tworzy w tymczasowym folderze pliki tekstowy (posiadający losową nazwę) i zapisuje w nim następującą sygnaturę autora:

Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
Purpose -----> Only Educational
Virus name --> AVRIL (please do not change it)

[ATTENTION]
The author has no response of the damages caused by AVRIL.

[DESCRIPTION]
For my lovely Avril Lavigne dedicated.
She lives in Canada and she's beautiful.
This is for AV companies:
Why? Why? Why don't you update your KB (knowledge bases)
on my serial and yet serious masterpieces?!
I guess that of AVRIL will get you thought of it.
NO DESTRUCTIVE ACTION!

[ACKNOWLEDGEMENT]
Antoher V0X & Hacker Group from Central Asia
Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

Thank you for ideas approach to us!!!
Bye



 2002-12-17  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych