I-Worm.Avron крупным планом

Пятница, 10 января 2003 г.
Просмотров: 371
Подписаться на комментарии по RSS

...При размножении через e-mail, использует брешь "IFrame". При просмотре письма через Outlook Express и Internet Explorer, червь автоматически запускает себя на выполнение.
При инсталляции червь копирует себя в системный каталог Windows со случайным именем и регистрирует этот файл в ключе авто-запуска системного реестра.

Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.
Адреса, по которым происходит рассылка, считывает из адресной книги Windows (WAB). Также ищет адреса в файлах с расширениями: .DBX .MBX .WAB .HTML .EML .HTM .ASP .SHTML
Тело письма является HTML-страницей и случайно выбирается из вариантов.
При рассылке червь создаёт временный файл "NewBoot.sys" во временном каталоге Windows.
Червь также создаёт в каталоге Windows файл "listrecp.dll" и записывает в него обнаруженные адреса электронной почты.

Заражение сети

Червь копирует себя со случайными именами в каталог \RECYCLED на всех доступных дисках. Если такого каталога нет, червь копирует себя в корневой каталог диска. Для авто-запуска своей копии червь дописывает команду в файл "autoexec.bat" на том же диске.

Размножение: ICQ и IRC

Варианты червя "b" и "c" ищут библиотеку "ICQMapi.dll" и пытаются послать свои копии по номерам ICQ, содержащимся в списке контактов ICQ. Они также создают файл "script.ini" в директории mIRC, так, что их копии рассылаются в каналы IRC, с которыми соединяется пользователь заражённого компьютера.

Троянская процедура

Червь считывает кешированные пароли и отправляет их на адрес "otto_psws@pochta.ws" в письме с заголовком "Password Got".

Проявление

По 7-м и 24-м числам червь запускает процедуру, которая случайно перемещает курсор мыши и открывает Web-страницу:
http://www.avril-lavigne.com

Прочее

Червь постоянно следит за антивирусными программами и принудительно завершает их работу.
Подробнее>>>