Antiviral Laboratory CBIT

I-Worm.Moodown.b [Лаборатория Касперского] или W32/Netsky-B[Sophos] - вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. После запуска червь выводит на экран ложное сообщение об ошибке „The file could not be opened!”: Почтовое сообщение имеет следующие характеристики:

Тема: одна из перечисленных Hi

hi

hello

read it immediately

something for you

warning

information

stolen

fake unknown Текст: один из следующих AnythingOk? anything ok? what does it mean? ok i'm waiting read the details. here is the document. read it immediately! my hero here is that true? is that your name? is that your account? i wait for a reply! is that from you? you are a bad writer I have your password! something about you! kill the writer of this document! i hope it is not true! your name is wrong i found this document about you yes, really? that is bad here it is see you greetings stuff about you? something is going wrong! information about you about me from the chatter here, the serials here, the introduction here, the cheats that's funny do you? reply take it easy why? thats wrong misc you earn money you feel the same you try to steal you are bad something is going wrong something is fool Вложение: имя может быть одним из перечисленных misc party disco part2 mail2 object ranking dinner release final location jokes friend website mails story found nomoney aboutyou shower topseller product swimmingpool bill note concert textfile posting stuff attachment details creditcard message talk document unknown fake stolen information warning something for you read it immediately hello Расширение вложения двойное: первое DOC, RTF, HTM, PIF, COM, SCR, второе EXE. Также вложение может быть ZIP-файлом. При инфицировании компьютера червь копирует себя в каталог Windows как services.exe и регистрирует данный файл в ключе автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] „service” = „%windir%\services.exe -serv” Также червь создает уникальный идентификатор своего присутствия в памяти: „AdmSkynetJklS003”. Червь создает множество своих копий во всех подкаталогах, содержащих в своем названии слово „Share” или „Sharing” на всех доступных дисках от C до Z с именами выбираемыми из списка: winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrix.scr porno.scr angels.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - lick my pussy.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe how to hack.doc.exe programming basics.doc.exe e.book.doc.exe win longhorn.doc.exe dictionary.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif а также копирует несколько своих копий в формате ZIP c именами из списка: document msg doc talk message creditcard details attachment me stuff posting textfile concert information note bill swimmingpool product topseller ps shower aboutyou nomoney found story mails website friend jokes location final release dinner ranking object mail2 part2 disco party misc #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#! Для осуществления массовой почтовой рассылки червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку. Аналогично некоторым другим червям, данный червь содержит в себе функцию „удаления” с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи „Explorer” и „Taskmon” в следующих ветках: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] а также удаляет ключ: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] Внимание!!! Червь удаляет из системного реестра Windows ключи „KasperskyAv” и „system.”. Пресс-центр Антивирусной лаборатории "ЦЕБИТ" наверх