В данном отчете будут рассмотрены четыре червя: Maslam.A, Maslam.B, Atak.D и Atak.E. Maslam.A и Maslam.B заражают компьютеры под управлением Windows 95/98/ME/NT/2000/XP, используя брешь LSASS. Они рассылаются по электронной почте, используя собственный SMTP механизм. Оба червя обладают следующими характеристиками:– Они ведут наблюдение за открытыми окнами Internet Explorer, ища наличие следующих строк: evocash, e-bullion, e-gold, mail, bank, trade или paypal. При нахождении строки, они записывают всю информацию, вводимую пользователем и отправляемую на веб-сайт.
– Они ищут файлы с расширениями rar, zip, pif или exe, в путях которых присутствует следующий текст: distr, download, setup или share, и затем заменяют эти файлы своими копиями.
– При своем запуске они выводят на экран сообщение об ошибке.
Главная разница между версиями A и B вируса Maslam – это имя файла, прикрепленного к сообщению, в котором распространяется вирус, а также текст в заголовке сообщения.
Другие два червя, рассматриваемые в сегодняшнем отчете, – это варианты D и E червя Atak, который распространяется по электронной почте в сообщении с варьирующимися характеристиками. Эти сообщения содержат прикрепленный файл с расширением bat, com, exe, pif или scr. Иногда файл запакован в виде zip-архива. Оба червя также подменяют адрес отправителя, чтобы ввести получателя в заблуждение.
Atak.D и Atak.E обладают следующими характеристиками:
– Используют собственный SMTP механизм для рассылки своих копий по адресам, полученным на зараженном компьютере.
– Создают копию червя в системной директории Windows – в случае с Atak.D это файл A1G.EXE, а с Atak.E – DAPDLL.EXE.
– Редактируют системный реестр с целью обеспечения своего запуска при каждом входе в систему.
Основные отличия Atak.D и Atak.E:
– Размер Atak.D, упакованного в формате FSG, равен 12037 байт, в то время как размер варианта E равен 11189 байт.
– Мьютекс, создаваемый ими для обеспечения одновременной работы лишь одной копии червя, различен для каждого варианта.