Меню

Укр Рус

Worm.Zhelatin.Win32

Виды вредоносных программ:
Worm.Zhelatin.Win32

Worm.Zhelatin.Win32 - сімейство хробаків, що складаються із декількох компонентів, і розповсюджуються через вкладення в електронну пошту.

Опис

Worm.Zhelatin.Win32 - сімейство хробаків,  які розповсюджуються через електронну пошту, прикріплюючи до кожного листа своє тіло. Розмір компонентів хробака варіюється в широких межах від 5 до 250 КБ залежно від модифікації. Файл хробака являє собою додаток Windows (PE файл).
Залежно від різновиду, хробак може складатися як з одного файлу, так і із цілого ряду компонентів, кожний з яких відповідає за свою задачу.

Хробак може складатися з наступних компонентів:

  • Інсталятор хробака в систему (програма класу Dropper).
  • Тіло хробака, відповідає за масове розсилання листів
  • Rootkit (Dll бібліотека), відповідає за маскування хробака в системі
  • Компонент для організації P2P мережі
  • Компонент для організації Ddos атак
  • Компонент класу Downloader, відповідає за завантаження відсутніх компонентів хробака, і оновлення його версії.
  • Супутня шкідлива програма класу Trojan, для крадіжки паролів або фінансової інформації
  • Супутня шкідлива програма класу Backdoor, для одержання повного доступу до комп'ютера користувача

Хробак виконується, коли користувач натискає на прикріплений до листа файл. Після запуску  - хробак копіює своє тіло в один із системних каталогів Windows з довільним ім'ям.
Для забезпечення автозапуску, хробаки цього сімейства записуються в ключі автозапуску системного реєстру Windows:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
[HKCU\Software\Microsoft\Windows\Currentversion\Run]

Або ж реєструються як системний сервіс.
Деякі модифікації хробака встановлюють додатковий Rootkit, який забезпечує маскування основного тіла хробака на комп'ютері.

Після впровадження на комп'ютер - хробак сканує файли для пошуку електронних адрес e-mail.
Для пошуку e-mail, Worm.Zhelatin.Win32 сканує фали з розширеннями:

*.ADB, *.ASP, *.CFG, *.CGI,*.DBX,*.DHTM *.EML,*.HTM
 *.HTML, *.INI *.JSP *.MSG *.NFO, *.ODS, *.PHP, *.SHTM, *.STM,*.TBB,*.TXT,*.WAB,*.XLS,*.XML

Для самозахисту хробак фільтрує e-mail адреси, щоб помилково не відправити листа на сайт антивірусної компанії, на урядові адреси (*gov)  або в компанію Microsoft.
Закінчивши збирати e-mail, хробак  відправляє свої копії по всіх знайдених адресах, прикріплюючи своє тіло до кожного листа.
При розсиланні повідомлень хробак намагається здійснити пряме підключення до Smtp-сервера.

Хробак може переобтяжувати комп'ютерну мережу, створюючи великий вихідний трафік масовим розсиланням листів.

Шкідливі дії

Основна мета хробака - це перетворення комп'ютера в один з вузлів бот мережі.
Надалі заражений комп'ютер може використовуватися як для масового розсилання спама, так і для проведення Ddos-Атак, що створюються власниками бот мережі.
У даний момент Bot мережа, що була створена за допомогою хробака Worm.Zhelatin.Win32, нараховує до 50 000 заражених комп'ютерів.