Червь является приложением Windows (PE EXE-файл), имеет размер около 100K, написан на Microsoft Visual C++. Упакован пакером UPX и зашифрован утилитой "Krypton".

При запуске червь инсталлирует себя в систему: копирует себя в системный каталог Windows и регистрирует этот файл в ключах авто- запуска системного реестра. Имя файла и ключ реестра зависит от версии червя:

Имя файла в системном каталоге:

"Tanked.11": "system32.exe"

"Tanked.13": "winsys.exe"

"Tanked.14": "cmd32.exe"

Червь копирует себя в каталог Kazaa.

I-Worm.Avron (Win32.HLLM.Avril.1, W32/Naith.A-mm, W32/Lirva.A@MM, W32/Lirva.B, W32.Arvil.A, W32/ Avril-A )

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также копирует себя на все логические диски (включая сетевые). Содержит троянскую процедуру, ворующую пароли.

Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++.

Размер червя различен и зависит от его версии:

I-Worm.Avron.a:

26K (упакован UPX, размер распакованного файла - около 57K)

I-Worm.Avron.b:

34K (упакован UPX)

I-Worm.Avron.b:

33K (упакован UPX)

Содержит ошибки и в некоторых случаях неработоспособен.

При инсталляции червь копирует себя в системный каталог Windows со случайным именем и регистрирует этот файл в ключе авто-запуска системного реестра.

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.

Адреса, по которым происходит рассылка, считывает из адресной книги Windows (WAB). Также ищет адреса в файлах с расширениями:

.DBX .MBX .WAB .HTML .EML .HTM .ASP .SHTML

Червь в своих письмах также случайно использует брешь в системе защиты "IFrame". Прочие письма рассылаются без "IFrame".

При рассылке червь создаёт временный файл "NewBoot.sys" во временном каталоге Windows.

Червь также создаёт в каталоге Windows файл "listrecp.dll" и записывает в него обнаруженные адреса электронной почты.

Червь копирует себя со случайными именами в каталог \RECYCLED на всех доступных дисках. Если такого каталога нет, червь копирует себя в корневой каталог диска. Для авто-запуска своей копии червь дописывает команду в файл "autoexec.bat" на том же диске.

Размножение: ICQ и IRC

Варианты червя "b" и "c" ищут библиотеку "ICQMapi.dll" и пытаются послать свои копии по номерам ICQ, содержащимся в списке контактов ICQ. Они также создают файл "script.ini" в директории mIRC, так, что их копии рассылаются в каналы IRC, с которыми соединяется пользователь заражённого компьютера.

Размножение: Kazaa

Варианты червя "b" и "c" создают свои копии в общедоступной директории Kazaa со случайными именами.

Червь считывает кешированные пароли и отправляет их на адрес "otto_psws@pochta.ws" в письме с заголовком "Password Got".

Проявление

По 7-м и 24-м числам червь запускает процедуру, которая случайно перемещает курсор мыши и открывает Web-страницу:

http://www.avril-lavigne.com

Червь постоянно следит за антивирусными программами и принудительно завершает их работу.

I-Worm.Lovgate (aka Supnot)

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по локальной сети. Также устанавливает в систему программу-шпиона. Известно несколько версий червя, которые отличаются друг от друга незначительными деталями.

Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой AsPack, имеет размер:

"Supnot.a": около 85K (размер распакованного файла - около 200K)

"Supnot.b": около 77K (размер распакованного файла - около 164K)

"Supnot.c": около 79K (размер распакованного файла - около 165K)

В письмах червь активизируется только, если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При заражении сети червь просто копирует себя в каталоги сети, а также пытается автоматически запустить свою копию (под WinNT).

При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции червь копирует себя с различными именами в системный каталог Windows и регистрирует эти файл в ключе авто-запуска системного реестра (под WinNT) и/или в секции "run" в файле "win.ini" в каталоге Windows (под Win9x).

Имя копии червя:

rpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, WinRpcsrv.exe

Зараженные письма рассылаются двумя способами.

1. Червь ищет "*.ht*"-файлы в текущем каталоге, в каталоге Windows и в каталоге "My Documents", выделяет из них строки, являющиеся адресами электронной почты и рассылает по этим адресами зараженные письма. При отсылке писем червь использует прямое подключение к SMTP-серверу (указанному в настройках системы или подключается к серверу smtp.163.com).

2. Червь использует функции Windows MAPI и "отвечает" на письма, обнаруженные в почтовом ящике.

Червь перебирает сетевые ресурсы (каталоги, открытые на полный доступ) и копирует туда себя с именами, случайно выбираемыми из списка:

pics.exe SETUP.EXE

images.exe Card.EXE

joke.exe billgt.exe

PsPGame.exe midsong.exe

news_doc.exe s3msong.exe

hamster.exe docs.exe

tamagotxi.exe humor.exe

searchURL.exe fun.exe

Если ресурс закрыт паролем, то червь пытается также соединиться с ресурсом, перебирая пароли:

Login: "guest", "Administrator"

Password: "123", "321", "123456", "654321", "administrator", "admin", "111111", "666666", "888888", "abc", "abcdef", "abcdefg", "12345678", "abc123"

Если соединение прошло успешно, червь копирует себя на удаленный компьютер с именем "stg.exe" и запускается на удаленном компьютере как сервис.

Червь запускает бекдор-процедуру, используя метод IPC (Interprocess Communication) - червь открывает сетевое соединение (pipe) и запускает на зараженной машине командный процессор CMD.EXE (под WinNT) или COMMAND.COM (под Win9x). В результате удаленный "хозяин" червя получает доступ к ресурсам зараженного компьютера.

Бекдор запускется тремя способами:

из собственного процесса червя

внедряя "патч" в адресное пространство процесса "LSASS.EXE" (под WinNT)

создаёт DLL-файлы "ily.dll", "Task.dll", "reg.dll" в системном каталоге Windows и активизирует их.

Данные три метода практически полностью дублируют бекдор-функционал червя.

При отсылке писем червь создаёт временный файл CH0016.TMP во временном каталоге Windows.

Червь посылает письмо-нотификацию "хозяину", в котором указаны имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.