Зараженные письма рассылаются по всем найденным на компьютере электронным адресам.

Программа является приложением Windows (PE EXE-файл). Размер ее компонентов варьируется в пределах от 89 до 114 КБ.

Инсталляция

При инсталляции червь копирует свой исполняемый файл в системный каталог Windows:
%System%\dxtmmnmd.exe

Также червь извлекает из своего тела следующий файл:
%System%\dxtmmnmd.dll

Распространение через e-mail

С целью поиска адресов будущих жертв вирус сканирует адресные книги MS Windows.

При рассылке зараженных писем червем используется собственная SMTP-библиотека.

Характеристики зараженных писем

Тема письма

Выбирается произвольным образом из списка:
Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test

Текст письма

Произвольным образом выбирается один из следующих вариантов:

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses.

Please install updates for worm elimination and your computer restoring.

Best regards, Customers support service

Имя файла вложения
body
data
doc
docs
document
file
message
readme
test
text
Update-KBслучайные цифры>-x86

Файлы вложения имеют расширения «.zip» или «.txt.exe».

В качестве этих файлов червь рассылает свой компонент, способный загружать из Интернета другое вредоносное программное обеспечение.

Деструктивная активность

Действия основного модуля червя

Данный представитель семейства Warezov останавливает и отключает службы следующих брандмауэров:
Sygate Personal Firewall
Zone Labs ZoneAlarm
Windows Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee.com Personal Firewall
Kerio WinRoute

Деструктивная деятельность рассылаемого компонента

Названный компонент распространяется по электронной почте при помощи основного модуля червя. Функция компонента заключается в скрытой загрузке на компьютер пользователя файла по ссылке:
kuturoisus.com/***/965/e/b****

(На момент создания описания данный URL не открывался.)

Скачанный файл сохраняется в системную папку Windows со случайным именем и расширением .exe, после чего запускается на исполнение.

Деструктивная активность

После запуска производится проверка системы на наличие средств защиты от несанкционированного доступа в Интернет (Outpost Firewall, Zone Alarm и Symantec Internet Security). В случае обнаружения данных программных продуктов троянец производит самоуничтожение — удаляет себя из системы.

Если ничего не обнаружено, осуществляется загрузка файла, расположенного по следующей ссылке:

http://216.65.106.***/proces.exe

(На момент создания описания она не работала.)

Скачанный файл сохраняется под именем «system.exe» во временный каталог Windows:
%Temp%\system.exe

Далее троянец скрыто запускает этот процесс и удаляет себя из системы.

Другие названия

Trojan-Downloader.Win32.Procexe («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Procexe («Лаборатория Касперского»), Downloader-AL (McAfee), Backdoor.Trojan.dr (Symantec), Trojan.Hostpro (Doctor Web), Troj/Procexe (Sophos), TrojanDownloader:Win32/Procexe (RAV), TROJ_PROCEXE.A (Trend Micro), TR/Dldr.Procexe (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Procexe (Grisoft), Generic.Malware.SBdld!!.A7F803C3 (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.Procexe (Eset)

Инсталляция

Устанавливается в систему при помощи других троянских программ.

Троянец инсталлируется как Browser Helper Object и следит за действиями пользователя в Интернете во время просмотра сайтов в браузере Microsoft Internet Explorer.

Деструктивная активность

Троянская программа похищает значения из полей ввода на странице www.postbank.de. Собранная информация отсылается в запросе на сайт злоумышленника вместе с URL страницы, на которой она находилась.

Также троянец сканирует параметры учетных записей Microsoft Outlook — читает из подключей ключа реестра [HKCU\Software\Microsoft\Internet Account Manager\Accounts] значения следующих записей:

Mail User NaMe
Mail Password2

Данные сведения отправляются на электронную почту злоумышленника.

Дополнительно злоумышленник получает такую информацию, как название установленной ОС и IP-адрес зараженного компьютера.

Троянская программа обладает функцией загрузки файлов из Интернета (по скачанным с сайта злоумышленника ссылкам) с последующим запуском их на исполнение.

Кроме того, троян, получив необходимую команду, может удалить все файлы из папок «%WinDir%» и «%Program Files%», а также из корневой папки диска С:, а после завершить работу всей системы.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:
* %System%\winwil32.dll — имеет размер 17920 байт.

Также создается ключ реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32]
"Asynchronous" = dword:00000001
"DllName" = "winwil32.dll"
"Impersonate" = dword:00000000
"Startup" = "EvtStartup"
"Shutdown" = "EvtShutdown"

Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».

Троянец создает ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\Microsoft\MSSMGR]

После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.

Деструктивная активность

Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:

* получать список процессов;

* запускать/останавливать различные процессы;

* получать список Dialup-соединений;

* просматривать последовательнось нажимаемых пользователем клавиш.

Инсталляция

Данный вирус инсталлируется в систему при помощи других троянских программ.

Деструктивная активность

Троянец устанавливает перехватчик на нажатия клавиш. С его помощью производится наблюдение за клавиатурным вводом пользователя.

Собранную информацию вредоносная программа сохраняет в файл, имя и путь к которому берет из параметра следующего ключа реестра:
[HKCR\CLSID\{000000A0-0000-0000-0000-000000000011}]
"File"

Деструктивная активность

При запуске вирус извлекает из своего тела в корневой каталог Windows два файла, после чего запускает их на исполнение. Имена файлов формируются случайным образом.

Первый из них имеет расширение .exe и детектируется Антивирусом Касперского как Trojan.Win32.Pandora.l.

Второй представляет собой картинку в формате JPEG, которая отображается на экране с помощью программы просмотра графических файлов, тем самым отвлекая пользователя от факта запуска вредоносного файла.

Другие названия

Trojan-Dropper.Win32.Small.fz («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.fz («Лаборатория Касперского»), MultiDropper-DO (McAfee), Trojan.KillAV (Symantec), Trojan.MulDrop.366 (Doctor Web), TrojanDropper:Win32/Small.FZ (RAV), TROJ_SMALL.FZA (Trend Micro), Win32:Trojan-gen. (ALWIL), Dropper.Small.4.BA (Grisoft), Trojan.Dropper.Small.FZ (SOFTWIN), Trj/Pandora.C (Panda), Win32/TrojanDropper.Small.FZ (Eset)

Первоначально данный троянец был распространен при помощи спам-рассылки.

Деструктивная активность

После запуска вирус загружает файлы по следующим URL:

http://www.coldspread.de/data/links***
http://marketing-know-how.com/products***
http://www.eurowing.us/images***
http://81.95.147.138/tomtom***
http://www.thaitradeshow.com/images***
http://tncmhg.com/images/lopsi***

(На момент создания описания ни одна из ссылок не работала.)

Скачанные файлы сохраняются в системную папку Windows под именами:
%System%\ws25.exe
%System%\ws26.exe
%System%\ws27.exe
%System%\ws28.exe
%System%\ws35.exe
%System%\ws36.exe

Затем троянец запускает их на исполнение и завершает свою работу.

Инсталляция

При запуске данный троянец копирует себя в системный каталог Windows (%System%) под именем «Kernl32.exe».

Для автоматического запуска при каждом последующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"KRNL" = "Kernl32.exe"

Деструктивная активность

Троянская программа получает информацию об имени зараженного компьютера и свободном пространстве на дисках. Собранные данные в зашифрованном виде («системное_время>.gif») отправляются по следующим адресам (с использованием соответствующих логинов и паролей):

* www.chat.ru
* ftp.geocities.com
* upload.digiweb.com

Попытка соединения при этом осуществляется ежеминутно.

Также бэкдор открывает произвольный TCP-порт и ожидает команд от злоумышленника. Последнему это позволяет осуществлять такие действия, как:

* получение системной информации;
* доступ к активным соединениям и паролям пользователя;
* загрузка/удаление файлов;
* запуск программ на исполнение;
* создание/удаление каталогов.

Другие названия

Backdoor.Win32.Zomby.b («Лаборатория Касперского») также известен как: Backdoor.Zomby.b («Лаборатория Касперского»), W32/Kernl (McAfee), W32.Ernl (Symantec), BackDoor.Zomby (Doctor Web), Troj/Kernl (Sophos), Backdoor:Win32/Zomby (RAV), TROJ_ZOMBY.B (Trend Micro), BDS/Zomby.B.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Zomby (Grisoft), Backdoor.Zomby.B (SOFTWIN), Backdoor Program (Panda), Win32/Zomby.B (Eset)

Инсталляция

При запуске троянец копирует свой исполняемый файл под именем:

%Program Files%\q~1\svchst32.exe

После этого оригинальный файл удаляется.

Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"bab" = "c:\progra~1\q~1\svchst32.exe"

Также генерируется следующий файл:

c:\!stealth.txt

Деструктивная активность

Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.

Вредоносная программа пытается завершить следующие процессы:

* ZONEALARM.EXE
* WFINDV32.EXE
* WEBSCANX.EXE
* VSSTAT.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* VSCAN40.EXE
* VETTRAY.EXE
* VET95.EXE
* TDS2-NT.EXE
* TDS2-98.EXE
* TCA.EXE
* TBSCAN.EXE
* SWEEP95.EXE
* SPHINX.EXE
* SMC.EXE
* SERV95.EXE
* SCRSCAN.EXE
* SCANPM.EXE
* SCAN95.EXE
* SCAN32.EXE
* SAFEWEB.EXE
* RESCUE.EXE
* RAV7WIN.EXE
* RAV7.EXE
* PERSFW.EXE
* PCFWALLICON.EXE
* PCCWIN98.EXE
* PAVW.EXE
* PAVSCHED.EXE
* PAVCL.EXE
* PADMIN.EXE
* OUTPOST.EXE
* NVC95.EXE
* NUPGRADE.EXE
* NORMIST.EXE
* NMAIN.EXE
* NISUM.EXE
* NAVWNT.EXE
* NAVW32.EXE
* NAVNT.EXE
* NAVLU32.EXE
* NAVAPW32.EXE
* N32SCANW.EXE
* MPFTRAY.EXE
* MOOLIVE.EXE
* LUALL.EXE
* LOOKOUT.EXE
* LOCKDOWN2000.EXE
* JEDI.EXE
* IOMON98.EXE
* IFACE.EXE
* ICSUPPNT.EXE
* ICSUPP95.EXE
* ICMON.EXE
* ICLOADNT.EXE
* ICLOAD95.EXE
* IBMAVSP.EXE
* IBMASN.EXE
* IAMSERV.EXE
* IAMAPP.EXE
* F-STOPW.EXE
* FRW.EXE
* FP-WIN.EXE
* F-PROT95.EXE
* F-PROT.EXE
* FPROT.EXE
* FINDVIRU.EXE
* F-AGNT95.EXE
* ESPWATCH.EXE
* ESAFE.EXE
* ECENGINE.EXE
* DVP95_0.EXE
* DVP95.EXE
* CLEANER3.EXE
* CLEANER.EXE
* CLAW95CF.EXE
* CLAW95.EXE
* CFINET32.EXE
* CFINET.EXE
* CFIAUDIT.EXE
* CFIADMIN.EXE
* BLACKICE.EXE
* BLACKD.EXE
* AVWUPD32.EXE
* AVWIN95.EXE
* AVSCHED32.EXE
* AVPUPD.EXE
* AVPTC32.EXE
* AVPM.EXE
* AVPDOS32.EXE
* AVPCC.EXE
* AVP32.EXE
* AVP.EXE
* AVNT.EXE
* AVKSERV.EXE
* AVGCTRL.EXE
* AVE32.EXE
* AVCONSOL.EXE
* AUTODOWN.EXE
* APVXDWIN.EXE
* ANTI-TROJAN.EXE
* ACKWIN32.EXE
* _AVPM.EXE
* _AVPCC.EXE
* _AVP32.EXE

Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:
c:\progra~1\q~1\updномер скачанного файла>.exe

Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.

Другие названия

Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll – имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки
%System%\msvcrl.dll.

После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:
QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:
WS_FTP
Total Commander
CuteFTP
FAR

Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:
TheBat
Outlook Express
Outlook

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:
InternetReadFile
InternetOpenURL

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.

Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.

Деструктивная активность

После запуска вирус производит загрузку архива «btiein.cab» во временный каталог Windows «down.cab»:
%Temp%\down.cab

Данный файл располагается по ссылке:

* http://download.websearch.com/***/T_50094/btiein.cab — (CAB-файл, имеет размер 117663 байта).

Архив содержит два файла:

* btiein.dll — (детектируется антивирусом Касперского как Trojan-Downloader.Win32.QDown.h, имеет размер 226304 байта);

* WinTools.exe — (детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.WebSearch.f, имеет размер 6656 байт).

Указанные файлы извлекаются во временный каталог Windows, после чего запускаются на исполнение:

%Temp%\btiein.dll
%Temp%\WinTools.exe

Другие названия

Trojan-Downloader.Win32.QDown.b («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.QDown.b («Лаборатория Касперского»), Downloader-TB (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.233 (Doctor Web), TrojanDownloader:Win32/Qdown (RAV), TROJ_QDOWN.A (Trend Micro), TR/SecndThought.C.1 (H+BEDV), Win32:Trojan-gen. (ALWIL), Generic.ATQ (Grisoft), Trojan.Downloader.QDown.B (SOFTWIN), Adware/WinTools (Panda), Win32/TrojanDownloader.QDown.B (Eset)

Добавлено (03.03.2009, 15:05)
---------------------------------------------
это чего за ВЦ, хочу мата, всю правду народу

Чесно вчера столкнулся с таким только
Trojan.JS. TimeBomb.a