Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск
Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

KZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.Darkprof

Добавлен в вирусную базу Dr.Web: 2003-10-31

Описание добавлено:

Описание

Win32.HLLM.Darkprof - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP.
Распространяется по электронной почте, используя собственную реализацию протокола SMTP.
На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP.
Размер программного модуля червя упакованного компрессионной утилитой UPX 12832 байта.

Запуск вируса

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
\"NetWatch32\" = \"%Windows%\\NETWATCH.EXE\"
в реестровую запись
HKEY_Local_Machine\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run

Распространение

Перед началом процедуры саморассылки червь проверяет подключен ли инфицированный компьютер к интернету, пытаясь установить соединение c узлом www.google.com. Если соединение установлено червь начинает массово распространять себя по всем адресам, найденным им на пораженном компьютере и сохраняемым червем в файле eml.tmp в директории Windows. Исключаются из поиска файлы со следующими расширениями: 

.avi 
.bmp 
.cab 
.com 
.dll 
.exe 
.gif 
.jpg 
.mp3 
.mpg 
.ocx 
.pdf 
.psd 
.rar 
.tif 
.vxd 
.wav 
.zip
Червь рассылает почтовые сообщения, используя собственную реализацию протокола SMTP. Почтовое сообщение, инфицированное Win32.HLLM.Darkprof, выглядит следующим образом:
    Отправитель:james@ ------%s, где %s - доменное имя пользователя пораженного компьютера
    Тема сообщения:Re[2]: our private photos %%%, где % - набор символов
    Текст сообщения: 
    Hello Dear!, 
Finally i\'ve found possibility to right u, my lovely girl :) 
    
All our photos which i\'ve made at the beach (even when u\'re without ur bh:))
    
photos are great! This evening i\'ll come and we\'ll make the best SEX :) 
Right now enjoy the photos. 
Kiss, James. 
%%%

    где %%%% - набор символов.
    Вложение: PHOTOS.ZIP

Внутри архива находится файл photos.jpg.exe.

Действия

Запущенный самим пользователем ZIP архив содержит копию червя NETWATCH.EXE, помещаемую им в директорию Windows. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия червя
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
проводит DoS-атаку на следующий веб-сайты: 
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
Червь похищает с компьютера информацию из окон Internet Explorer и отсылает ее, предположительно своему создателю, по адресам: 
omnibbb@gmx.net 
drbz@mail15.com 
omnibcd@gmx.net 
kxva@mail15.com
Похищенные данные червь хранит в создаваемом им в корневой директории диска C:\\ файле TMPE.TMP. В последствии этот файл удаляется червем.