Новый вирус распространяет себя через ICQ

≡ Архив | архивная статья | 05.12.2001 13:39

Червь написан на Visual Basic 6 , размер файла-носителя червя – 37 кб.

Для активации этого червя пользователь должен самостоятельно запустить файл-носитель червя (GONE.SCR), после чего начинается процедура внедрения вредоносного кода на компьютер жертвы. Для этого «Goner» записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows. Таким образом, червь автоматически запускается при каждой перезагрузке операционной системы.

Далее, «GONER», начинает распространятся с помощью зараженного компьютера по интернету, используя для этого почтовую программу MS Outlook и популярный интернет-пейджер ICQ. Для распространения по электронной почте, червь получает доступ к адресной книге MS Outlook, создает письмо, содержащие вредоностный файл-носитель, и незаметно от пользователя, рассылает его по всей адресной книге.

"Goner" также пытается рассылать свои копии при помощи Интернет-пейджера ICQ. Для этого он постоянно отслеживает список активных (online) пользователей и периодически пытается передать им файл-носитель червя. Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ "Goner" постоянно сканирует имена вновь появившихся окон и закрывает служебные окна ICQ.

Помимо распространения по интернету, червь также проводит атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на зараженном компьютере незаметно запускается вредоносная скрипт-программа, которая с помощью клиента mIRC регулярно создает в этом канале пользователей со случайными именами. В некоторых случаях это может привести к перегрузке сервиса.

Этот червь примечателен еще тем, что пытается удалить некоторые файлы установленных на компьютере пользователя антивирусов и защитных firewall программ. Ниже список файлов, которые пытается удалить «Goner».

aplica32.exe

zonealarm.exe

esafe.exe

cfiadmin.exe

cfiaudit.exe

cfinet32.exe

pcfwallicon.exe

frw.exe

vshwin32.exe

vsecomr.exe

webscanx.exe

avconsol.exe

vsstat.exe

pw32.exe

vw32.exe

vp32.exe

vpcc.exe

vpm.exe

avp32.exe

avpcc.exe

avpm.exe

avp.exe

lockdown2000.exe

icload95.exe

icmon.exe

icsupp95.exe

icloadnt.exe

icsuppnt.exe

tds2-98.exe

tds2-nt.exe

safeweb.exe

Если червю не удается удалить эти файлы, то он создает файл WININIT.INI , который после перезагрузки системы удаляет вышеперечисленные файлы.

«Мы считаем, что эпидемия "Goner" скоро пойдет на убыль, - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Каждый раз в случае обнаружения новой вредоносной программы в первые часы наблюдается всплеск ее активности, которая через 2-3 дня постепенно затухает. Этот червь не использует нестандартных методов проникновения на компьютеры, поэтому, скорее всего, его судьба будет развиваться именно по такому сценарию».

комментарии(0)

разделы: Архив