Обнаружен новый опасный червь I-Worm.Tanatos

01.10.2002 | 15:27
Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Копирует себя на сетевые ресурсы, открытые на полный доступ. Содержит троянские процедуры удаленного управления зараженным компьютером (backdoor).

Червь является приложением Windows (PE EXE-файл), имеет размер около 50K (упакован UPX) написан на Microsoft Visual C++.

Зараженные письма содержат различные заголовки, тексты и имена вложений.

В зависимости от случайного счетчика, червь посылает либо обычные текстовые, либо HTML-письма.

Для запуска себя из зараженных HTML-писем червь использует брешь в системе безопасности почтового клиента (IFRAME). При этом зараженное вложение активизируется без участия пользователя - при чтении или предварительном просмотре сообщения.

В обычных текстовых письмах червь активизируется, только если пользователь сам запускает зараженный файл.

Телом письма является случайно выбранный текст из какого-либо файла на диске.

Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Процедура удаленного управления открывает порт 36794 и "слушает" команды "хозяина". Данная процедура позволяет контролировать зараженный компьютер: принимать, передавать, копировать, удалять файлы, запускать файлы на выполнение, принудительно завершать процессы и т.п.

Червь также открывает на зараженном компьютере HTTP-сервер и предоставляет "хозяину" WEB-интерфейс для операций с зараженной системой.

В черве заложена функция перехвата паролей, которые отсылаются на несколько адресов, прошитых в теле червя в зашифрованном виде.

Кроме всего прочего, червь постоянно следит за антивирусными приложениями и пытается принудительно завершить их работу:

Подробности: http://www.viruslist.com/viruslist.html?id=1143360.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.viruslist.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код