Worm.Zhelatin.Win32
Worm.Zhelatin.Win32 - семейство червей, состоящих из нескольких компонентов и распространяющихся через вложения в электронную почту.
Описание
Worm.Zhelatin.Win32 - семейство червей, которые распространяются через электронную почту, прикрепляя к каждому письму свое тело. Размер компонентов червя варьируется в широких пределах от 5 до 250 КБ в зависимости от модификации. Файл червя представляет собой приложение Windows (PE файл).
В зависимости от разновидности, червь может состоять как из одного файла, так и из целого ряда компонентов, каждый из которых отвечает за свою задачу.
Червь может состоять из следующих компонентов:
- Инсталлятор червя в систему (программа класса Dropper).
- Тело червя, отвечает за массовую рассылку писем
- RootKit (Dll библиотека), отвечает за маскировку червя в системе
- Компонент для организации P2P сети
- Компонент для организации DDos атак
- Компонент класса Downloader, отвечает за загрузку недостающих компонентов червя, и обновление его версии.
- Сопутствующая вредоносная программа класса Trojan, для кражи паролей или финансовой информации
- Сопутствующая вредоносная программа класса Backdoor, для получения полного доступа к компьютеру пользователя
Червь выполняется, когда ничего не подозревающий пользователь нажимает на прикрепленный к письму файл. После запуска - червь копирует свое тело в один из системных каталогов Windows с произвольным именем.
Для обеспечения автозапуска, черви этого семейства записываются в ключи автозапуска системного реестра Windows:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Или же регистрируются как системный сервис.
Некоторые модификации червя устанавливают дополнительный RootKit, который обеспечивает маскировку основного тела червя на компьютере.
После внедрения на компьютер червь сканирует файлы для поиска электронных адресов e-mail.
Для поиска писем Worm.Zhelatin.Win32 сканирует фалы с расширениями:
*.ADB, *.ASP, *.CFG, *.CGI,*.DBX,*.DHTM *.EML,*.HTM
*.HTML, *.INI *.JSP *.MSG *.NFO, *.ODS, *.PHP, *.SHTM, *.STM,*.TBB,*.TXT,*.WAB,*.XLS,*.XML
Для самозащиты червь фильтрует e-mail адреса, чтобы по ошибке не отправить письма на сайт антивирусной компании, на правительственные адреса (*gov) или в компанию Microsoft.
Закончив собирать e-mail, червь отправляет свои копии по всем найденным адресам, прикрепляя свое тело к каждому письму.
При рассылке сообщений червь пытается осуществить прямое подключение к SMTP-серверам.
Червь может перегружать компьютерную сеть, создавая большой исходящий трафик массовой рассылкой писем.
Вредоносные действия
Основная цель червя - это превращение компьютера в один из узлов бот сети.
В дальнейшем зараженный компьютер может использоваться как для массовой рассылки спама, так и для проведения DdoS-атак, организуемых владельцами бот сети.
В настоящий момент Bot сеть, организованая при помощи червя Worm.Zhelatin.Win32, насчитывает до 50 000 зараженных компьютеров.