Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 17.04.2010, 19:26

Email-Worm.Win32. Agent.bx

Вредоносная программа, предназначена для рассылки спама и проведения DOS атак.

При запуске создает на диске следующие файлы:
%windir%\service.exe
%windir%\system32\svshost.dll
%windir%\system32\wininet.exe
%windir%\system32\winint.exe
А также добавляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{D7FFD784-5276-42D1-887B-00267870A4C7}
”InProcServer32” - "C:\WINDOWS\system32\svshost.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ “ShellServiceObjectDelayLoad” -
"{D7FFD784-5276-42D1-887B-00267870A4C7}"

Деструктивная активность

Вредоносная программа соединяется со следующими адресами:
http://nikemk.com/?ddos=<random>
<random> - специально сгенерированная последовательность например:
“x7x29x39x17x16”
Далее вредоносная программа открывает на компьютере 9649-ий TCP порт и позволяет злоумышленнику подключиться к компьютеру. Адреса, с которых злоумышленник может подключиться к зараженному компьютеру программа получает по вышеуказанной ссылке.

Злоумышленник может использовать группу таких зараженных компьютеров для проведения DOS атаки.

Также зараженный компьютер может использоваться злоумышленником для рассылки спама.

Программа устанавливает соединение с адресом 67.227.137.176:443 (при этом используется SSL шифрование). В ходе данного соединения программа отправляет злоумышленнику все найденные на компьютере адреса электронной почты, а также получает адреса и письма которые ей надо отослать.

Для рассылки спама используются следующие smtp сервера:
gmail-smtp-in.l.google.com
gsmtp183.google.com
mail-fx0-f25.google.com
mail7.digitalwaves.co.nz
in1.smtp.messagingengine.com

17.04.2010, 19:26	#13
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,562 Сказал(а) спасибо: 2,820 Поблагодарили 5,656 раз(а) в 4,455 сообщениях Вес репутации: 46	Email-Worm.Win32. Agent.bx Вредоносная программа, предназначена для рассылки спама и проведения DOS атак. При запуске создает на диске следующие файлы: %windir%\service.exe %windir%\system32\svshost.dll %windir%\system32\wininet.exe %windir%\system32\winint.exe А также добавляет следующие ключи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {D7FFD784-5276-42D1-887B-00267870A4C7} ”InProcServer32” - "C:\WINDOWS\system32\svshost.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ “ShellServiceObjectDelayLoad” - "{D7FFD784-5276-42D1-887B-00267870A4C7}" Деструктивная активность Вредоносная программа соединяется со следующими адресами: http://nikemk.com/?ddos=<random> <random> - специально сгенерированная последовательность например: “x7x29x39x17x16” Далее вредоносная программа открывает на компьютере 9649-ий TCP порт и позволяет злоумышленнику подключиться к компьютеру. Адреса, с которых злоумышленник может подключиться к зараженному компьютеру программа получает по вышеуказанной ссылке. Злоумышленник может использовать группу таких зараженных компьютеров для проведения DOS атаки. Также зараженный компьютер может использоваться злоумышленником для рассылки спама. Программа устанавливает соединение с адресом 67.227.137.176:443 (при этом используется SSL шифрование). В ходе данного соединения программа отправляет злоумышленнику все найденные на компьютере адреса электронной почты, а также получает адреса и письма которые ей надо отослать. Для рассылки спама используются следующие smtp сервера: gmail-smtp-in.l.google.com gsmtp183.google.com mail-fx0-f25.google.com mail7.digitalwaves.co.nz in1.smtp.messagingengine.com __________________