PDA

Просмотр полной версии : Новый червь Worm.Win32.Banwor.a



Зайцев Олег
02.12.2004, 10:50
Обнаружен новый вид червя - Worm.Win32.Banwor.a. Червь состоит из четырех файлов:
SYSHOST.exe - 195584, сжат UPX
scan.exe - 43008 байт, сжат UPX
hwin32.DLL - 22528 байт, сжат UPX
hwin16.DLL - 22528 байт, сжат UPX
все это добро находится в папке System32, запускается из ключа Run реестра.
библиотеки hwin32.DLL и hwin16.DLL AVP не детектирует, но без них червь не работоспособен. Эти библиотеки применяются им для маскировки процесса.
В ходе работы червь пытается предавать почтовые сообщения, соединяясь напряму с сервером 216.200.145.54 (everyone.net). Получатель и отправитель письма - [email protected] Тест письма тоже любопытен: "infected..TheBAT: ..Outlook: ..Clipboard: ..IP: 172.20.107.28.......". Т.е. это и троян.
Далее червь начинает сканировать сеть (в моем случае для IP=172.20.107.28 адреса формировались как 172.20.1.*, 172.20.2.* и т.п., на месте звездочки - перебор чисел от 1 до 254). С каждым из хостов червяк пробует соединиться по порту 135 (что характерно для червей, заражающих уязвимый ПК посредством эксплоита).