Typ: Robak
Źródło: Symantec
System: Windows
Działanie: Infekcja przez spam, sam też rozsyła, ściąga inne zagrożenia i jest w stanie działać w botnecie
Zawarty jest w spamie świątecznym
Tworzy wpis startowy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SmartIndex" = "[PATH TO WORM]"
tworzy inne klucze:
* HKEY_CURRENT_USER\Software\Google\"ID" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID2" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID3" = "[HEXADECIMAL DIGITS]"
Otwiera backdoora na TCP port 80 oraz UDP port 445.
łączy się ze szkodliwymi adresami IP:
Kod: Zaznacz cały
* 85.198.226.237
* 80.5.249.237
* 123.236.43.238
* 97.93.78.238
* 24.23.81.238
* 80.93.190.238
* 84.188.239.238
* 151.50.156.240
* 77.121.160.240
* 24.139.237.240
* 1.23.3.241
* 220.78.26.241
* 190.245.76.241
* 98.220.46.242
* 84.240.199.242
* 200.120.27.243
* 80.80.38.243
* 117.200.52.243
* 188.58.102.243
* 93.176.238.243
* 62.84.50.244
* 2.60.72.246
* 183.87.78.246
* 82.232.113.246
* 203.192.239.246
* 77.38.29.247
* 62.11.86.247
* 78.58.76.248
* 89.116.22.249
* 68.55.214.250
* 89.235.214.250
* 220.126.223.250
* 89.215.12.251
* 94.180.91.251
* 178.150.188.251
* 71.192.238.251
* 209.102.242.252
Updatuje się z pliku pobranego z internetu o nazwie:
Kod: Zaznacz cały
flash3.exe
Może ściągać także inne pliki wykonywalne
Wysyła maila (spam):
Subject: Welcome 2011!
Body:
Walt has created a New Year ECard.
Your Ecard: [http://]trackside.co.uk/z32iyk[REMOVED]
The greeting card will be stored for you for 14 days.
Subject: Cordelia sent you New Year Wishes!
Body:
Cordelia sent a New Year card.
View the card by clicking: [http://]toowoombastampclub.org/r9zk70[REMOVED]
Your eCard will be available for the next 20 days.
Subject: Happy New Year 2011!
Body:
Saul mailed an Online greeting card.
To pick up your greeting card, click on the following link:
[http://]playhdvideo.com/ckrx5b[REMOVED]
Your eCard will be available with us for the next 30 days.
Subject: Wish You A Happy New Year!
Body:
Jen wants to show you a greeting card.
Your card will be available at: [http://]polyepiplo.gr/8z21bj[REMOVED]
For your convenience, the greeting card will be available for the next 30 days.
Może łączyć się z innymi zakażonymi komputerami przez HTTP oraz SNMP.
Usuwanie:
Po wyłączeniu przywracania systemu, aktualizacji antywirusa i wykonaniu nim skanowania komputera, należy skasować wpisy z rejestru:
Kod: Zaznacz cały
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SmartIndex" = "[PATH TO WORM]"
* HKEY_CURRENT_USER\Software\Google\"ID" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID2" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID3" = "[HEXADECIMAL DIGITS]"