Информационные технологииРефераты >> Коммуникации и связь >> Информационные технологии
I-Worm.Klez
Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.
В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либо использует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет.
Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты.
Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.
Проявления
По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Интернет-червь Tanger распространяется через популярные приложения обмена файлами
В сети обнаружен новый интернет-червь Tanger, который распространяется при помощи электронной почты, mIRC, Pirch и Virc, а также посредством наиболее популярных программ обмена файлами - Kazaa, BearShare, e-Donkey и Morpheus.
Эта вредоносная программа использует для своего распространения наиболее популярные приложения обмена файлами. Червь ищет в общих папках таких программ, как Kazaa или Morpheus, файлы со следующими расширениями: scr, pif, mp3, mp2, gif, bmp, dib, png, jpg, jpeg, jpe, tif, tiff, mpg, mpeg, mpe, avi, mov, tmp, txt, lnk, bat, mdb, ppt и pps. При обнаружении указанных файлов он заменяет их своей копией.
Вирус заражает документы Excel, общие шаблоны Word и файлы Access. I-Worm.Tanger проверяет, не установлены ли на пораженном компьютере приложения IRC mIRC, Pirch и Virc. При обнаружении таковых червь изменяет файлы script.ini и events.ini для получения возможности отправки файла notice.tng с использованием команды /DCC.
Worm.SQL.Helkern (aka SQL.Slammer aka Sapphire)
Интернет-червь, заражающий сервера, работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру, пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS SQL.
Червь имеет крайне небольшой размер - всего 376 байт.
Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).
При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:
GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)
Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").
Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.
Macro.Word97.Zaraza
Содержит единственный макрос zaraza, содержащий функции expo_, AutoOpen, AutoNew, AutoClose, FileSaveAs, FileSave, HelpAbout, FileTemplate, ToolsMacro, ViewVBCode, IR_, zavis_.
При открытии файла создает в каталоге, куда установлен MS Office текстовый файл ~42.drv, в который записывает свой VB-код. В дальнейшем этот файл используется для заражения других документов Word.
Вирус изменяет название открытого окна MS Word на "Mikro Word".
Выключает опцию VirusProtection, заражение происходит при создании, открытии, закрытии и сохранении с другим именем документов Word.
По 30-м и 31-м числам каждого месяца, а также 14 декабря запускает процедуру вызывающую "зависание" компьютера.
I-Worm.Sobig
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.
Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.
Зараженные письма содержат:
От: big@boss.com
Червь активизируется только, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.
Для рассылки по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.
Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
Червь скачивает из Интернет текстовый файл, в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.
Worm.P2P.Lolol
Вирус-червь. Распространяется по "peer-to-peer" сети обмена файлами Kazaa.
Содержит достаточно мощную "Backdoor"-процедуру, которая управляется "хозяином" через подключение к IRC-каналам.
Червь является приложением Windows (PE EXE-файл), имеет размер около 60K, написан на Microsoft Visual C++.
При запуске червь инсталлирует себя в систему: копирует себя с именем "syscfg32.exe" в системный каталог Windows и регистрирует этот файл в ключах авто-запуска системного реестра.
Worm.P2P.Tanked
Вирус-червь. Распространяется по "peer-to-peer" сети обмена файлами Kazaa.
Содержит достаточно мощную "Backdoor"-процедуру, которая управляется "хозяином" через подключение к IRC-каналам.