Кибербезопасность-обсуждение

[Tuflya07]

Email-Worm.Win32. Agent.bx

Вредоносная программа, предназначена для рассылки спама и проведения DOS атак.

При запуске создает на диске следующие файлы:
%windir%\service.exe
%windir%\system32\svshost.dll
%windir%\system32\wininet.exe
%windir%\system32\winint.exe
А также добавляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{D7FFD784-5276-42D1-887B-00267870A4C7}
”InProcServer32” - "C:\WINDOWS\system32\svshost.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ “ShellServiceObjectDelayLoad” -
"{D7FFD784-5276-42D1-887B-00267870A4C7}"

Деструктивная активность

Вредоносная программа соединяется со следующими адресами:
http://nikemk.com/?ddos=<random>
<random> - специально сгенерированная последовательность например:
“x7x29x39x17x16”
Далее вредоносная программа открывает на компьютере 9649-ий TCP порт и позволяет злоумышленнику подключиться к компьютеру. Адреса, с которых злоумышленник может подключиться к зараженному компьютеру программа получает по вышеуказанной ссылке.

Злоумышленник может использовать группу таких зараженных компьютеров для проведения DOS атаки.

Также зараженный компьютер может использоваться злоумышленником для рассылки спама.

Программа устанавливает соединение с адресом 67.227.137.176:443 (при этом используется SSL шифрование). В ходе данного соединения программа отправляет злоумышленнику все найденные на компьютере адреса электронной почты, а также получает адреса и письма которые ей надо отослать.

Для рассылки спама используются следующие smtp сервера:
gmail-smtp-in.l.google.com
gsmtp183.google.com
mail-fx0-f25.google.com
mail7.digitalwaves.co.nz
in1.smtp.messagingengine.com