Alexey P.
19.09.2004, 13:59
Описание:
http://antivir.ru/inf/virus.php?id=285&ref=virsrch
Наименование вируса: Win32.HLLM.Gibe.2 [Swen]
Добавлен в вирусную базу Dr.Web
18 сентября 2003, 17:08 MSK, горячее дополнение к версии 4.30
Другие названия:
I-Worm.Swen, Win32.Swen.A, Win32/Swen.A.Worm, W32.Swen.A@mm,
WORM_SWEN.A, W32/Gibe-F, W32/Gibe.E-mm
Тип:
почтовый червь массовой рассылки
Уязвимые операционные системы:
Windows 95/98/ME/NT/2000/XP, Windows 2003 Server
Признаки инфицирования:
- предложение установить патч от Microsoft
- многочисленные сообщения об ошибках на экране дисплея
- наличие в директории Windows нескольких файлов, создаваемых
червем
- наличие в директории файлообменой сети KaZaa созданной червем
папки со случайным названием
- невозможность работы с системным реестром
Описание вируса:
Win32.HLLM.Gibe.2 - почтовый червь массовой рассылки. Поражает
компьютеры под управлением операционных систем Windows
95/98/ME/NT/2000/XP, а также Windows Server 2003. Написан на
языке программирования высокого уровня Visual C++. Размер
программного модуля червя 106496 байт.
Начало эпидемии червя Win32.HLLM.Gibe.2 - 18 сентября 2003
года.
Червь распространяется по электронной почте, используя
собственную реализацию протокола SMTP, по файлообменной сети
KaZaa и сети диалогового общения в Интернете IRC.
Для запуска в системе червь использует давно известную
уязвимость, связанную с некорректной обработкой MIME
заголовков , которая позволяет вложенному в письмо
программному файлу (с вирусом) автоматически запускаться при
простом просмотре почты в таких клиентах, как MS Outlook и MS
Outlook Express (версии 5.01 и 5.5).
ЗАО "ДиалогНаука" настоятельно рекомендует пользователям
указанных программ установить у себя все обновления и патчи,
опубликованные на официальном сайте компании Microsoft!
В случае, если указанный патч от Microsoft установлен на
компьютере, инфицирование возможно только в случае
сознательного запуска пользователем приложения с вирусным
кодом.
Способы распространения:
Распространение по электронной почте
Для осуществления рассылки по электронной почте червь
использует собственную реализацию протокола SMTP. Адреса для
рассылки червь получает из адресной книги Windows и файлов с
расширениями .asp, .dbx, .eml, .ht*, .mbx .wab. Полученный
адреса червь хранит в создаваемом им в директории Windows
файле germs0.dbv.
Червь генерирует несколько типов почтовых сообщений, используя
различные темы сообщений и прилагаемые к ним тексты. Одним из
них таких сообщений является письмо в формате HTML, якобы от
имени корпорации Microsoft.
Адрес отправителя: Microsoft Corporation Program Security
Devision
Адрес получателя: MS User (либо MS Corporation User)
Тема сообщения: New Microsoft Patch ( либо Last Net Patch,
либо Last Network Critical Pack)
Текст сообщения, рассылаемого червем, выглядит как письмо,
отправленное пользователю от имени компании Microsoft,
предлагающее установить на его компьютере последний патч к MS
Internet Explorer и MS Outlook Express, но на самом деле
ТАКОВЫМ НЕ ЯВЛЯЮЩЕЕСЯ! Для придания сообщению убедительности,
в нем использованы реально действующие ссылки на различный
страницы сайта компании (Загрузить изображение).
Наименования вложений к сообщениям, инфицированным червем
Win32.HLLM.Gibe.2, генерируются из случайного набора символов
с расширением .BAT, .COM, .EXE, .PIF или .SCR.
Размер вложения: 106 496 байт.
Распространение по системе диалогового общения в Интернете
Internet Relay Chat
Червь обладает способностью распространяться по сети IRC. Для
этого на пораженном компьютере он осуществляет поиск
директории \Mirc и помещает в нее собственный файл Script.ini,
или вносит изменения в уже существующий в этой директории файл
Script.ini, после чего червь становится доступным всем
пользователям системы после осуществления соединения
пораженного червем компьютера с сервером IRC в виде
заархивированного локальным архиватором файла. Доступ к
архиватору обеспечивается через ключ реестра
HKEY_Local_Machine\Software\Microsoft\Windows
CurrentVersion\App Paths
Распространение по файлообменной сети KaZaa
Для распространения по файлообменной сети KaZaa во временной
директории Windows червь создает свою собственную папку со
случайным названием, состоящим из набора символов и добавляет
данные
"Dir99" = 012345:путь к папке, создаваемой червем
в ключ реестра
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Далее червь копирует себя в загрузочную директорию KaZaa и в
созданную им папку в виде файлов с интригующими названиями, в
частности, представляя себя в качестве утилит очистки от
известных вирусов.
Инфицирование системы:
После своего запуска в системе, червь демонстрирует на экране
дисплея несколько ложных сообщений, некоторые из которых якобы
от имени компании Microsoft.
Независимо от того, какую кнопку выберет пользователь, червь
продолжит свою деятельность в системе, но при выборе кнопки
"Да" пользователю будет показано следующее окно, якобы
свидетельствующее об установке патча.
По окончании "установки" пользователю будет выведено следующее
окно:
Еще одно диалоговое окно - MAPI32 Exception - демонстрируется
червем, в котором пользователю предлагается заполнить
пустующие поля с электронным адресом, именем пользователя и
паролем, данными SMTP и POP3 серверов.
Обращаем внимание пользователей на то, что вне зависимости
от того, будут нажаты пользователем кнопки на
вышеприведенных диалоговых окнах или нет, процесс установки
вируса в систему будет продолжаться.
В директорию Windows червь помещает свою копию - файл с
названием, генерируемым червем из случайного набора символов и
расширением .EXE.
Например, abcdefgs.exe
В ту же директорию червь помещает еще несколько файлов:
- "название компьютера".bat - пакетный файл запускающий червя
- "набор символов".расширение - в этом файле червь хранит путь
к своим исполняемым модулям
- swen1.dat представляет собой обычный текстовый файл, который
содержит список удаленных новостных серверов с которыми
червь будет пытаться установить соединение
- в файле germs0.dbv червь хранит список почтовых адресов
найденных им в инфицированном компьютере
- еще одну свою копию червь помещает в создаваемую им
директорию во временной директории Windows в виде файла с
названием, аналогичным названиям, под которыми червь
копирует себя в загрузочную директорию KaZaa.
- "набор символов".zip - заархивированная копия червя.
Для обеспечения своего автоматического запуска при каждом
начале работы пользователя в Windows червь вносит изменения в
следующую реестровую запись:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"набор символов" = набор символов.EXE autorun
Помимо этого, червь вносит изменения еще в несколько ключей
системного реестра, обеспечивая таким образом, свой
автоматический запуск при открытии любого файла с расширением
.BAT, .COM, .EXE, .PIF, .REG, или .SCR:
- HKCR\batfile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\comfile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\exefile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\piffile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\regfile\shell\open\command\(Default) = "набор
символов.exe " showerror
- HKCR\scrfile\shell\open\command\(Default) = "набор
символов.exe "%1" /S"
- HKCR\scrfile\shell\config\command\(Default) = "набор
символов.exe "%1""
Червь делает невозможным доступ к редактору системного
реестра, внося изменения в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
в результате чего при попытке пользователя открыть редактор
на экране дисплея будет появляться сообщение
Error occurred
Memory access violation in module kernel32 at
(последовательность цифр)
Также червь вносит многочисленные изменения в ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\
- "CacheBox Outfit"="yes"
- "Email Address"="почтовый адрес пользователя"
- "Server"="IP - адрес SMTP сервера"
- "Mirc Install Folder"="путь к директории MIRC"
- "Installed"="...by Begbie"
- "Install Item"="набор символов"
- "Unfile"="набор символов"
- "ZipName"="набор символов"
Червь останавливает процессы ряда антивирусных программ и
брандмауэров, в именах которых встречаются следующие строки:
_avp, ackwin32, amserv, an, anti-troj, aplica32, apvxdwin, autodown,
avconsol, ave32, avgcc32, avgctrl, avgw, avkserv, avnt, avp, avsched32,
avwin95, avwupd32, blackd, blackice, bootwarn, ccapp, ccshtdwn, cfiadmi,
cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe,
espwatch, f-agnt95, f-prot, f-prot95, f-stopw, findviru, fp-win, fprot,
fprot95, frw, gibe, iamapp, ibmasn, ibmavsp, icload95, icloadnt, icmon,
icmoon, icssuppnt, icsupp, iface, iomon98, jedi, kpfw32, lockdown2000,
lookout, lu32, luall, moolive, mpftray, msconfig, nai_vs_stat, nav,
navapw32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade,
nvc95, outpost, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98,
pcfwallicon, persfw, pop3trap, rav, regedit, rescue, safeweb, serv95, sphinx,
sweep, tca, tds2, vcleaner, vcontrol, vet32, vet95, vet98, vettray, view,
vscan, vsecomr, vshwin32, vsstat, webtrap, wfindv32, zapro, zonealarm
http://antivir.ru/inf/virus.php?id=285&ref=virsrch
Наименование вируса: Win32.HLLM.Gibe.2 [Swen]
Добавлен в вирусную базу Dr.Web
18 сентября 2003, 17:08 MSK, горячее дополнение к версии 4.30
Другие названия:
I-Worm.Swen, Win32.Swen.A, Win32/Swen.A.Worm, W32.Swen.A@mm,
WORM_SWEN.A, W32/Gibe-F, W32/Gibe.E-mm
Тип:
почтовый червь массовой рассылки
Уязвимые операционные системы:
Windows 95/98/ME/NT/2000/XP, Windows 2003 Server
Признаки инфицирования:
- предложение установить патч от Microsoft
- многочисленные сообщения об ошибках на экране дисплея
- наличие в директории Windows нескольких файлов, создаваемых
червем
- наличие в директории файлообменой сети KaZaa созданной червем
папки со случайным названием
- невозможность работы с системным реестром
Описание вируса:
Win32.HLLM.Gibe.2 - почтовый червь массовой рассылки. Поражает
компьютеры под управлением операционных систем Windows
95/98/ME/NT/2000/XP, а также Windows Server 2003. Написан на
языке программирования высокого уровня Visual C++. Размер
программного модуля червя 106496 байт.
Начало эпидемии червя Win32.HLLM.Gibe.2 - 18 сентября 2003
года.
Червь распространяется по электронной почте, используя
собственную реализацию протокола SMTP, по файлообменной сети
KaZaa и сети диалогового общения в Интернете IRC.
Для запуска в системе червь использует давно известную
уязвимость, связанную с некорректной обработкой MIME
заголовков , которая позволяет вложенному в письмо
программному файлу (с вирусом) автоматически запускаться при
простом просмотре почты в таких клиентах, как MS Outlook и MS
Outlook Express (версии 5.01 и 5.5).
ЗАО "ДиалогНаука" настоятельно рекомендует пользователям
указанных программ установить у себя все обновления и патчи,
опубликованные на официальном сайте компании Microsoft!
В случае, если указанный патч от Microsoft установлен на
компьютере, инфицирование возможно только в случае
сознательного запуска пользователем приложения с вирусным
кодом.
Способы распространения:
Распространение по электронной почте
Для осуществления рассылки по электронной почте червь
использует собственную реализацию протокола SMTP. Адреса для
рассылки червь получает из адресной книги Windows и файлов с
расширениями .asp, .dbx, .eml, .ht*, .mbx .wab. Полученный
адреса червь хранит в создаваемом им в директории Windows
файле germs0.dbv.
Червь генерирует несколько типов почтовых сообщений, используя
различные темы сообщений и прилагаемые к ним тексты. Одним из
них таких сообщений является письмо в формате HTML, якобы от
имени корпорации Microsoft.
Адрес отправителя: Microsoft Corporation Program Security
Devision
Адрес получателя: MS User (либо MS Corporation User)
Тема сообщения: New Microsoft Patch ( либо Last Net Patch,
либо Last Network Critical Pack)
Текст сообщения, рассылаемого червем, выглядит как письмо,
отправленное пользователю от имени компании Microsoft,
предлагающее установить на его компьютере последний патч к MS
Internet Explorer и MS Outlook Express, но на самом деле
ТАКОВЫМ НЕ ЯВЛЯЮЩЕЕСЯ! Для придания сообщению убедительности,
в нем использованы реально действующие ссылки на различный
страницы сайта компании (Загрузить изображение).
Наименования вложений к сообщениям, инфицированным червем
Win32.HLLM.Gibe.2, генерируются из случайного набора символов
с расширением .BAT, .COM, .EXE, .PIF или .SCR.
Размер вложения: 106 496 байт.
Распространение по системе диалогового общения в Интернете
Internet Relay Chat
Червь обладает способностью распространяться по сети IRC. Для
этого на пораженном компьютере он осуществляет поиск
директории \Mirc и помещает в нее собственный файл Script.ini,
или вносит изменения в уже существующий в этой директории файл
Script.ini, после чего червь становится доступным всем
пользователям системы после осуществления соединения
пораженного червем компьютера с сервером IRC в виде
заархивированного локальным архиватором файла. Доступ к
архиватору обеспечивается через ключ реестра
HKEY_Local_Machine\Software\Microsoft\Windows
CurrentVersion\App Paths
Распространение по файлообменной сети KaZaa
Для распространения по файлообменной сети KaZaa во временной
директории Windows червь создает свою собственную папку со
случайным названием, состоящим из набора символов и добавляет
данные
"Dir99" = 012345:путь к папке, создаваемой червем
в ключ реестра
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Далее червь копирует себя в загрузочную директорию KaZaa и в
созданную им папку в виде файлов с интригующими названиями, в
частности, представляя себя в качестве утилит очистки от
известных вирусов.
Инфицирование системы:
После своего запуска в системе, червь демонстрирует на экране
дисплея несколько ложных сообщений, некоторые из которых якобы
от имени компании Microsoft.
Независимо от того, какую кнопку выберет пользователь, червь
продолжит свою деятельность в системе, но при выборе кнопки
"Да" пользователю будет показано следующее окно, якобы
свидетельствующее об установке патча.
По окончании "установки" пользователю будет выведено следующее
окно:
Еще одно диалоговое окно - MAPI32 Exception - демонстрируется
червем, в котором пользователю предлагается заполнить
пустующие поля с электронным адресом, именем пользователя и
паролем, данными SMTP и POP3 серверов.
Обращаем внимание пользователей на то, что вне зависимости
от того, будут нажаты пользователем кнопки на
вышеприведенных диалоговых окнах или нет, процесс установки
вируса в систему будет продолжаться.
В директорию Windows червь помещает свою копию - файл с
названием, генерируемым червем из случайного набора символов и
расширением .EXE.
Например, abcdefgs.exe
В ту же директорию червь помещает еще несколько файлов:
- "название компьютера".bat - пакетный файл запускающий червя
- "набор символов".расширение - в этом файле червь хранит путь
к своим исполняемым модулям
- swen1.dat представляет собой обычный текстовый файл, который
содержит список удаленных новостных серверов с которыми
червь будет пытаться установить соединение
- в файле germs0.dbv червь хранит список почтовых адресов
найденных им в инфицированном компьютере
- еще одну свою копию червь помещает в создаваемую им
директорию во временной директории Windows в виде файла с
названием, аналогичным названиям, под которыми червь
копирует себя в загрузочную директорию KaZaa.
- "набор символов".zip - заархивированная копия червя.
Для обеспечения своего автоматического запуска при каждом
начале работы пользователя в Windows червь вносит изменения в
следующую реестровую запись:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"набор символов" = набор символов.EXE autorun
Помимо этого, червь вносит изменения еще в несколько ключей
системного реестра, обеспечивая таким образом, свой
автоматический запуск при открытии любого файла с расширением
.BAT, .COM, .EXE, .PIF, .REG, или .SCR:
- HKCR\batfile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\comfile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\exefile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\piffile\shell\open\command\(Default) = "набор
символов.exe "%1" %*"
- HKCR\regfile\shell\open\command\(Default) = "набор
символов.exe " showerror
- HKCR\scrfile\shell\open\command\(Default) = "набор
символов.exe "%1" /S"
- HKCR\scrfile\shell\config\command\(Default) = "набор
символов.exe "%1""
Червь делает невозможным доступ к редактору системного
реестра, внося изменения в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
в результате чего при попытке пользователя открыть редактор
на экране дисплея будет появляться сообщение
Error occurred
Memory access violation in module kernel32 at
(последовательность цифр)
Также червь вносит многочисленные изменения в ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\
- "CacheBox Outfit"="yes"
- "Email Address"="почтовый адрес пользователя"
- "Server"="IP - адрес SMTP сервера"
- "Mirc Install Folder"="путь к директории MIRC"
- "Installed"="...by Begbie"
- "Install Item"="набор символов"
- "Unfile"="набор символов"
- "ZipName"="набор символов"
Червь останавливает процессы ряда антивирусных программ и
брандмауэров, в именах которых встречаются следующие строки:
_avp, ackwin32, amserv, an, anti-troj, aplica32, apvxdwin, autodown,
avconsol, ave32, avgcc32, avgctrl, avgw, avkserv, avnt, avp, avsched32,
avwin95, avwupd32, blackd, blackice, bootwarn, ccapp, ccshtdwn, cfiadmi,
cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe,
espwatch, f-agnt95, f-prot, f-prot95, f-stopw, findviru, fp-win, fprot,
fprot95, frw, gibe, iamapp, ibmasn, ibmavsp, icload95, icloadnt, icmon,
icmoon, icssuppnt, icsupp, iface, iomon98, jedi, kpfw32, lockdown2000,
lookout, lu32, luall, moolive, mpftray, msconfig, nai_vs_stat, nav,
navapw32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade,
nvc95, outpost, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98,
pcfwallicon, persfw, pop3trap, rav, regedit, rescue, safeweb, serv95, sphinx,
sweep, tca, tds2, vcleaner, vcontrol, vet32, vet95, vet98, vettray, view,
vscan, vsecomr, vshwin32, vsstat, webtrap, wfindv32, zapro, zonealarm