Win32.Roger.45056 - новый почтовый червь, заражающий исполняемые файлы

[18.03.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового почтового червя массовой рассылки, детектируемого антивирусным ядром Dr.Web® как Win32.Roger.45056. В классификации некоторых антивирусных компаний червь также получил название Ganda или Densux.

Win32.Roger.45056 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер червя 45,056 байт.
Для распространения червь использует электронную почту, рассылая свои инфицированные копии по всем адресам, найденным в адресной книге Windows и файлах формата .eml, . htm и .dbx, собственную реализацию протокола SMTP и почтовый сервер в Швеции. Червь инфицирует исполняемые PE - файлы, увеличивая их размер на 567 байт.

Червь формирует и рассылает с пораженного компьютера три типа почтовых сообщений.

Почтовые сообщения первого типа, рассылаемые червем, содержат тему на шведском и английском языках и название вложения, состоящее из двух символов, за которыми следует расширение .scr. Например, ab.scr.

Почтовые сообщения второго типа не содержат темы и сопроводительного текста; вкладываемое в них вложение содержит название xx.scr. При попадании такого сообщения в систему оно открывается в ней без ведома пользователя на компьютерах, где используются почтовые клиенты, некорректно обрабатывающие MIME заголовки, что позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).

Почтовые сообщения третьего типа червь отправляет по нескольким адресам в Швеции, подставляя в поле отправителя вымышленный адрес skrattahaha@hotmail.com, с сопроводительным текстом на шведском языке и темой сообщения DISKRIMINERAD !!!!

При попадании на компьютер червь осуществляет следующие действия:

копирует себя в директорию Windows в виде файлов Scandisk.exe и сгенерированного из набора 8 символов и расширения .exe (например, abcdefgh.exe)

для обеспечения автоматического запуска своей копии при каждом начале работы пользователя в Windows червь вносит изменения в реестровую запись автозапуска

создает семафор под названием SWEDENSUX для обозначения своего присутствия в системе

для подсчета количества отправленных писем червь создает ключи в реестре

предпринимает попытки остановить процессы, в названии окон которых есть слова virus, firewall, f-secure, symantec, mcafee, pc-cillin, trend micro, kaspersky, sophos, norton.

инфицирует исполняемые файлы, которые импортируют Win32 API ExitProcess(). В конец таких файлов вирус дописывает свой код и вносит изменения в вызов ExitProcess(), что позволяет ему запускаться всякий раз при завершении процесса, запущенного инфицированным червем исполняемым файлом.

Win32.Roger.45056 обнаруживается и обезвреживается антивирусной программой Dr.Web^® для Windows, при этом автоматически производится очистка системного реестра. Запуск сканера Dr.Web^® с настройками "по умолчанию" на зараженном компьютере позволяет сразу обнаружить присутствие червя и обезвредить его, не проводя полного сканирования компьютера. Вместе с тем, для удаления всех копий червя с локальных дисков, а также для лечения инфицированных файлов необходимо просканировать все диски.

Более подробную информацию о вирусе можно прочитать здесь.