Panda Software съобщава за появяването на Swash.A. Това е червей, който спира достъпа на заразения компютър до сайтовете на някои антивирусни компании.
Освен това прекратява процеси, протичащи към антивирусни програми, "пожарни стени" и други червеи. Оставя компютъра уязвим към атаките на друг злонамерен софтуер.
Swash.A се разпространява по e-mail, в съобщение с вариращи характеристики, и чрез няколко peer-to-peer (P2P) програми.
Swash.A трудно се разпознава, тъй като не показва съобщение или предупреждение, че е достигнал до компютъра.
Стратегия на заразяване:
Swash.A създава следните файлове в системната директория на Windows:
- LSASRV.EXE. Този файл е копие на червея.
- VERSION.INI.
Swash.A модифицира HOSTS файла, ограничавайки достъпа на потребителите до сайтовете на някои антивирусни компании.
Swash.A създава следните входове в Windows Registry:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
lsass = %sysdir%\ lsasrv exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ShellSmash
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ShellSmash
Начин на предаване:
Swash.A spreads се разпространява:
1.- По e-mail.
Swash.A следва стъпките:
Достига до компютъра в съобщение с вариращи характеристики:
Sender:
Swash.A не измисля e-mail адреса, от който е изпратен.
Subject: някое от:
<празно>
<произволни символи>
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Attachments:
Прикачения файл има ZIP, EXE или SCR разширение.
Компютърът се заразява при стартиране на прикачения файл.
Swash.A се саморазпространява до всички адреси, които е събрал, използвайки своя собствена SMTP engine.
Swash.A не се изпраща до адреси:
- Които съдържат някои от тези текстови стрингове в домейна: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet и utgers.ed.
- Чието потребителско име съдържа някои от следните текстови стрингове: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you и your.
2.-Чрез програми за обмен на файлове (file sharing).
Swash.A следва разписанието:
Създава свое копие в общите директории на програмите KaZaA, eDonkey, iMesh и LimeWire. Използва привлекателни имена за своите файлове.
Потребителите виждат и могат да достигат до тези файлове и да ги записват на компютрите си, мислейки че са полезни програми, филми, картинки и т.н. Всъщност тези файлове са копия на червея.
Когато тези файлове се стартират, Swash.A заразява компютъра.