Associates mcafee advertising
На главную Продукты Тесты Загрузить Лицензирование Поддержка Статьи Контакты Поиск
Отправить зараженный файл Обновить DAT-файлы

Virus Library FreeScan
WebImmune WebImmune
Virus Library Virus Library
AVERT Virus News AVERT Virus News


  • Последние новости

    Подписка на новости




  • Архив новостей

  • Ваши отзывы о сайте

    • Новости

    13.01.2003 McAfee присваивает вирусу W32/Sobig@MM средний уровень риска

    Характеристика вируса

    AVERT, антивирусное исследовательское подразделение McAfee Security, повыcило уровень риска вируса W32/Sobig@MM до среднего. Данный червь написан на MSVC, предпринимает попытки распространения через сетевые ресурсы общего использования и по электронной почте. Содержит встроенный механизм работы с SMTP.

    Распространение по e-mail

    Исходящие сообщения формируются в следующем формате:

    От: big@boss.com
    Тема: одна из следующих строк:

    • Re: Movies
    • Re: Sample
    • Re: Document
    • Re: Here is that sample
    Вложение: файл размером 65,536 байт с одним из следующих названий:
    • Movie_0074.mpeg.pif
    • Document003.pif
    • Untitled1.pif
    • Sample.pif

    Почтовые адреса могут извлекаться с машины жертвы из файлов со следующими расширениями:

    • WAB
    • DBX
    • HTM
    • HTML
    • EML
    • TXT

    Распространение по сети

    Червь исследует доступные общие сетевые ресурсы и пытается создать свою копию на удаленной машине в следующих каталогах:

    \WINDOWS\ALL USERS\START MENU\PROGRAMS\STARTUP
    или
    \DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP

    Симптомы заражения

    • Наличие файла WINMGM32.EXE в каталоге Windows; размер файла 65,536 байт.
    • Наличие файла SNTMLS.DAT в каталоге Windows.
    • Наличие файла DWN.DAT в каталоге Windows.

    Метод заражения

    Один из образцов, полученных AVERT, представлял собой многокомпонентный пакет. Пакет состоял из двух файлов – порнографического изображения (отображаемого на экране) и тела червя. Многокомпонентный пакет определяется как MultiDropper-FB при установленных DAT-файлах 4242.

    Будучи запущенным на выполнение, червь устанавливается в каталог Windows под именем WINMGM32.EXE. В реестре создает два ключа для автоматического запуска:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "WindowsMGM" = C:\WINDOWS\winmgm32.exe

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "WindowsMGM" = C:\WINDOWS\winmgm32.exe

    Собранные адреса электронной почты сохраняются в файле %WinDir%\SNTMLS.DAT

    Червь загружает текстовый файл с удаленного web-сервера. На момент написания данный файл содержал одну ссылку: http://www.doesnotexist.com/blah.txt

    В случае удачной загрузки адрес сохраняется в файле %WinDir%\DWN.DAT.

    С момента начала анализа в файле добавилась еще одна ссылка, указывающая на удаленный PE-файл, который также загружается червем. Данный файл обнаруживается как BackDoor-AOT с установленными DAT-файлами 4242.

    Червь содержит следующую строку: Worm.X

    Удаление вируса

    Возможности обнаружения и удаления включены в DAT-файлы 4242.

    Доступны следующие EXTRA.DAT пакеты:

    EXTRA.DAT
    SUPER EXTRA.DAT

    Файлы с вирусом W32/SoBig@MM должны быть удалены.

    Возможные названия

    I-Worm.Sobig (AVP)
    W32.Sobig.A@mm (Symantec)
    W32/Sobig (Panda)
    W32/Sobig-A (Sophos)
    Win32.Sobig (CA)
    WORM_SOBIG.A (Trend)


    Copyright © 2004 Associates. All rights reserved.
    Телефон: (495) 730-74-76
    E-mail: getinfo@associates.ru    		Правовые аспекты | Legal notices