Swen (компьютерный червь) - Википедия - Swen (computer worm)

Свен
Распространенное имяСвен червь
Техническое названиеWin32 / Swen
Псевдонимы
ТипКомпьютерный червь
ПодтипМассовая рассылка
Точка изоляции18 сентября 2003 г.
Операционные системы) затронутыйОт Windows 95 до Windows XP
Размер файла106-496 байты

Свен это массовая рассылка компьютерный червь написано в C ++. Он отправляет электронное письмо с программой установки вируса, замаскированной под Майкрософт Виндоус обновление, хотя работает и на P2P обмен файлами сети, IRC и сайты групп новостей. Впервые он был проанализирован 18 сентября 2003 года, однако до этого времени он мог заразить компьютеры. Это отключает брандмауэры и антивирусные программы.

Инфекционное заболевание

Самостоятельная установка

Сначала вирус отправляется через электронное письмо с вложением, выдающим себя за обновление для Windows. Вложение может иметь .com, .scr, .летучая мышь, .pif, или же .EXE расширение файла. Если имя файла начинается с букв P, Q, U или I, отображается поддельное диалоговое окно Центра обновления Майкрософт, в котором спрашивается, хочет ли пользователь установить обновление безопасности Майкрософт, с помощью двух вариантов «Да» и «Нет». Если пользователь нажимает «Да», он отображает поддельный индикатор выполнения при установке поддельного обновления. По завершении отображается другое диалоговое окно с сообщением: Пакет обновлений для Интернета Майкрософт успешно установлен. Затем вредоносная программа запускается повторно, после чего появляется еще одно диалоговое окно с сообщением: Пакет обновлений безопасности Microsoft. Это обновление не требуется устанавливать в этой системе. Если пользователь выберет «Нет», вредоносная программа все равно будет автоматически устанавливаться в фоновом режиме. Затем он проверяет наличие определенных критериев, открывая другое диалоговое окно, предлагая пользователю ввести Адрес электронной почты, имя пользователя Пароль, SMTP сервер, и их сервер POP3. После заполнения указанных полей червь делает копию себя в папке C: Windows как <случайные символы> .exe. В конце концов вирус перемещает всю информацию в копию и прекращает работу.

Автоматический старт

Червь создает следующие запись в реестре для выполнения при запуске: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run = " .exe autorun"

Рекомендации

  1. Энциклопедия угроз Trend Micro | WORM_SWEN.A
  2. Информация о вирусе BitDefender для Swen.A@mm