Axis Projects Системы упраления корпоративными сетями
  (095) 782-65-65
Раздел сайта: Ресурсы / Угрозы Вашей сети / Фишинг

Ресурсы

 
 Пример политики доступа
 Расчет экономической эффективности
 Презентации продуктов
 Информация для партнеров
 Угрозы Вашей сети

Червь I-Worm.Yeno.b


Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по найденным на зараженном компьютере адресам электронной почты. Червь представляет собой VBS-файл, размером 7КБ.

Инсталляция

После запуска червь выводит следующее сообщение: "Are you still drunk?"

Если ответить "Yes", червь прекращает свою работу, не совершая вредоносных действий.

Если ответить "No", червь выводит следующее сообщение: "You got my worm. It's dangerous. To disinfect contact your AV centre".

Далее червь копирует себя в системный каталог Windows с именем "OXNEY.B.VBS". Например:

C:\WINDOWS\System32\OXNEY.B.VBS

Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "SPINX"="Wscript.exe %System%\OXNEY.B.VBS %"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

Характеристики зараженных писем

Тема письма:
Fw: I give you again

Текст письма:
Spidey has give you some password of xxx site (cute) Spidey

Действие

I-Worm.Yeno.b добавляет следующие записи в реестр:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SPINX]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Load-Guard"="Wscript.exe %Windir%\LGuarg.exe.vbs %"

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"GeneralTab"="1"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Micosoft Internet Explorer Provided by : Spidey"
"Start Page"="Spidey.uni.cc"

Червь ищет на дисках С:, D: и E: файлы с расширениями "htm" и "html" и заражает их, добавляя скрипт на запуск следующих файлов:

%System%\OXNEY.B.VBS
%Windir%\LGuarg.exe.vbs
Червь ищет на дисках С:, D: и E: файлы с расширениями "vbs" и "vbe" и заражает их, добавляя копию своего кода.

А знаете ли Вы что..
...Вы можете подписаться на рассылку наших новостей и всегда быть в курсе происходящего? Рассылка выходит 1-2 раза в месяц и содержит информацию о новых продуктах, инициативах компании, мероприятиях, а также техническую информацию для пользователей программного обеспечения.
RuFilter Update Service

Ежедневное пополнение базы данных российскими URL и классификация именно тех ресурсов, которые посещают Ваши пользователи. Бесплатный сервис для SurfControl Web Filter.
Мы имеем статус