Появление червя I-Worm.Zafi.b.

15/06/2004 19:08

"Лаборатория Касперского" сообщает об увеличении активности обнаруженного в прошлую пятницу, 11 июня, интернет-червя I-Worm.Zafi.b, распространяющегося в качестве вложений в зараженные электронные письма, а также через локальные и файлообменные сети. Червь написан на языке Assembler, упакован при помощи FSG и имеет размер 12800 байт. В распакованном виде размер увеличивается до 33292 байт. Червь распространяется в качестве вложений в зараженные электронные письма. Для поиска адресов, по которым будет производиться рассылка зараженных писем, червь сканирует файлы с расширениями: adb, asp, dbx, eml, htm, mbx, php, pmr, sht, tbb, txt, wab. На адреса, содержащие подстроки: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win, yaho - отправка писем не осуществляется. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя. Распространяется также через локальные и файлообменные сети. Червь копирует свой файл во все папки, в имени которых встречаются строки: share, upload. Имя для файлов червя выбирается из следующего списка: Total Commander 7.0 full_install.exe, winamp 7.0 full_install.exe. После запуска копирует свой файл в системный каталог Windows. Имя файла генерируется случайным образом. Червь регистрирует себя в ключе автозагрузки системного реестра: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "_Hazafibb"="%system%[имя файла]". Также червь создает уникальный идентификатор "_Hazafibb" для определения своего присутствия в системе. Прекращает работу в памяти следующих процессов: fvprotect.exe, jammer2nd.exe, services.exe, winlogon.exe. После остановки данных процессов, удаляет их файлы с диска. Создает в корне диска C: файл "sys.txt". Пытается обнаружить на компьютеры файлы некоторых антивирусных программ и перезаписывает их содержимое своими копиями. Пытается произвести DoS-атаку на сайты: www.2f.hu, www.parlament.hu, www.virusbuster.hu, www.virushirado.hu.
Источник