Уход (компьютерный червь)

Уход за червями
Уход за червями
Техническое название	Win32/Уход
Псевдоним	Win32/Swen.worm.106496 (АнЛаб) ; W32/Swen.A@mm (команда аутентификации) ; I-Worm/Care.A ( AVG ) ; Win32/Swen.A@mm ( BitDefender ) ; Win32/Swen.A.Worm (Калифорния) ; Win32/Swen.A ( ESET ) ; Email-Worm.Win32.Care ( Лаборатория Касперского ) ; W32/Swen@MM ( McAfee ) ; W32/Swen.A@mm (Норман) ; W32/Gibe.C.worm ( Панда ) ; W32/Gibe-F ( Софос ) ; Email-Worm.Win32.Swen ( программное обеспечение Sunbelt ) ; W32.Swen.A@mm ( Symantec ) ; WORM_SWEN.A ( Тренд Микро ) ; I-Worm.Care.A1 (VirusBuster) ;
Тип	Компьютерный червь
Подтип	Массовая рассылка
Технические детали
Платформа	От Windows 95 до Windows XP
Размер	106–496 байт

Swen — для массовой рассылки компьютерный червь , написанный на C++ . Он отправляет электронное письмо, содержащее установщик вируса, замаскированный под обновление Microsoft Windows , хотя он также работает в P2P -сетях обмена файлами , IRC и веб-сайтах групп новостей. Впервые он был проанализирован 18 сентября 2003 года, однако компьютеры могли быть заражены и раньше. Он отключает брандмауэры и антивирусные программы .

Инфекция

Самостоятельная установка

Вирус сначала отправлялся по электронной почте с вложением, выдавая себя за обновление для Windows. Вложение может иметь .com , .scr , .bat , .pif или .exe расширение файла . Если имя файла начинается с букв P, Q, U или I, отображается фальшивое диалоговое окно Центра обновления Microsoft, в котором спрашивается, хочет ли пользователь установить обновление безопасности Microsoft, с двумя вариантами выбора: «Да» и «Нет». Если пользователь нажимает «Да», во время установки поддельного обновления отображается фальшивый индикатор выполнения. По завершении отображается еще одно диалоговое окно с сообщением: Пакет обновлений Microsoft Internet Update успешно установлен. Затем вредоносная программа повторно запускается, после чего появляется еще одно диалоговое окно с сообщением: Пакет обновлений безопасности Microsoft. Это обновление не требуется устанавливать в этой системе. Если пользователь выберет «Нет», вредоносное ПО все равно будет устанавливаться в фоновом режиме. Затем он проверяет определенные критерии, открывая другое диалоговое окно, запрашивая у пользователя адрес электронной почты , имя пользователя, пароль, SMTP и POP3 адреса серверов . После заполнения указанных полей червь создает свою копию в C:\Windows папка как <random characters>.exe. В конце концов вирус перемещает всю информацию в копию и завершает работу.

Автозапуск

Червь создает следующую запись реестра для выполнения при запуске: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\<random value> = "<random filename>.exe autorun"

Ссылки