I-Worm.Klez

Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.

В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либо использует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет.

Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты.

Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.

Проявления

По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Интернет-червь Tanger распространяется через популярные приложения обмена файлами

В сети обнаружен новый интернет-червь Tanger, который распространяется при помощи электронной почты, mIRC, Pirch и Virc, а также посредством наиболее популярных программ обмена файлами - Kazaa, BearShare, e-Donkey и Morpheus.

Эта вредоносная программа использует для своего распространения наиболее популярные приложения обмена файлами. Червь ищет в общих папках таких программ, как Kazaa или Morpheus, файлы со следующими расширениями: scr, pif, mp3, mp2, gif, bmp, dib, png, jpg, jpeg, jpe, tif, tiff, mpg, mpeg, mpe, avi, mov, tmp, txt, lnk, bat, mdb, ppt и pps. При обнаружении указанных файлов он заменяет их своей копией.

Вирус заражает документы Excel, общие шаблоны Word и файлы Access. I-Worm.Tanger проверяет, не установлены ли на пораженном компьютере приложения IRC mIRC, Pirch и Virc. При обнаружении таковых червь изменяет файлы script.ini и events.ini для получения возможности отправки файла notice.tng с использованием команды /DCC.

Worm.SQL.Helkern (aka SQL.Slammer aka Sapphire)

Интернет-червь, заражающий сервера, работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру, пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS SQL.

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).

При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount (KERNEL32.DLL)

socket, sendto (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

Macro.Word97.Zaraza

Содержит единственный макрос zaraza, содержащий функции expo_, AutoOpen, AutoNew, AutoClose, FileSaveAs, FileSave, HelpAbout, FileTemplate, ToolsMacro, ViewVBCode, IR_, zavis_.

При открытии файла создает в каталоге, куда установлен MS Office текстовый файл ~42.drv, в который записывает свой VB-код. В дальнейшем этот файл используется для заражения других документов Word.

Вирус изменяет название открытого окна MS Word на "Mikro Word".

Выключает опцию VirusProtection, заражение происходит при создании, открытии, закрытии и сохранении с другим именем документов Word.

По 30-м и 31-м числам каждого месяца, а также 14 декабря запускает процедуру вызывающую "зависание" компьютера.

I-Worm.Sobig

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.

Зараженные письма содержат:

От: big@boss.com

Червь активизируется только, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"WindowsMGM" = (windir)\winmgm32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

"WindowsMGM" = (windir)\winmgm32.exe

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.

Для рассылки по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.

Windows\All Users\Start Menu\Programs\StartUp\

Documents and Settings\All Users\Start Menu\Programs\Startup\

Червь скачивает из Интернет текстовый файл, в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.

Worm.P2P.Lolol

Вирус-червь. Распространяется по "peer-to-peer" сети обмена файлами Kazaa.

Содержит достаточно мощную "Backdoor"-процедуру, которая управляется "хозяином" через подключение к IRC-каналам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 60K, написан на Microsoft Visual C++.

При запуске червь инсталлирует себя в систему: копирует себя с именем "syscfg32.exe" в системный каталог Windows и регистрирует этот файл в ключах авто-запуска системного реестра.

Worm.P2P.Tanked

Вирус-червь. Распространяется по "peer-to-peer" сети обмена файлами Kazaa.

Содержит достаточно мощную "Backdoor"-процедуру, которая управляется "хозяином" через подключение к IRC-каналам.