Технические детали
Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в пакованом виде - примерно 40KB и может незначительно изменяться, размер в распакованном виде - примерно 140KB.
Зараженные письма содержат произвольные темы и тексты. Имя вложения также может варьироваться с разными расширениями "pif" или "zip".
Например:
Тема письма:
Connection failed
Текст письма:
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Имя вложения:
your_passwords.pif
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. После запуска червь открывает Notepad в котором отображает исходный текст письма.
Создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из списка:
32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win
Червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<случайное имя ключа>" = "%System%\<имя червя>"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"<случайное имя ключа>" = "%System%\<имя червя> %1"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:
bcegfds.lll
spoofed_recips.ocx
syst32win.dll
winsys32xx.zzp
winhex32xx.wrm
zmndpgwf.kxx
zhcarxxi.vvx
Размножение
Червь ищет на диске файлы, имеющие одно из следующих расширений:
abc
abd
abx
adb
ade
adp
adr
asp
bas
cfg
cgi
cls
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
|
frm
hlp
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
|
ods
oft
php
pl
pp
ppt
pst
rtf
shtml
sln
tbb
txt
uin
vap
vbs
wab
wsh
xls
xml
|
и ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
В качестве адреса отправителя используется одно из названий (в качестве домена указывается домен получателя):
account
admin
Administrator
Administrator
AutoMailer
AutoMailer
Error_Info
Fehler-Info
Home
Info
Info
Information
Kundenservice
Liste
Passwort
Register
Register
RobotMailer
RobotMailer
Schwarze-Liste
Service
Service
User-info
Webmaster
Webmaster
webmaster
В качестве домена отправителя также могут использоваться домены:
abuse.de
freenet.de
gmx.de
gmx.net
lycos.de
web.de
yahoo.com
yahoo.de
Тема письма выбирается из списка:
Bad Gateway
Bestatigung
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Info
Information
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Message-ID
Na, uberrascht?!
Oh my God
Registrierungs-Bestatigung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprised?
Your document
Тело зараженного письма может содержать следующие строки:
Ich war auch ein weniguberrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passworter rauszubekommen!!!
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment
Nahere Informationen befinden sich im Anhang.
*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte uberprufen Sie nochmals diese E-Mail auf mogliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://
--- Mail To: User-Hilfe
Passwort und Benutzername wurde erfolgreich geandert
Ihre Benutzernamen und Passworter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http://
++++ E-Mail: KundenInfo
Wegen eines Datenbank- Fehlers konnte es moglicherweise zu einem Verlust Ihrer personlichen Daten wie Kennworter gekommen sein.
Wenn Sie Unregelma?igkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank fur Ihr Verstandnis
+++ Ein Service von
+++ http://
+++ E-Mail: Kundenservice
Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
I was surprised, too! :-(
Who could suspect something like that?
All OK :)
see, what i've found!
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye
I 've told you!:-) sometime I grab your passwords!
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://
++++ Mail To: User-info
*** Auto Mail Delivery System ***
_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission
The original message is a separate attachment.
--- Web: http://
--- Mail To: User-Hilfe
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ http://
+++ Mail: home
The message has been attached.
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
Anybody use your accounts!
For further details see the attachment.
I have received your document. The corrected document is attached.
greets
Имя вложения выбирается из списка:
_attach
-attachment
abuse-liste
AMD-System.txt
anitv_text
Anleitung
AntiVirus-Text
attach-message
Benutzer-Daten
Block-Lists
corrected_text-file
Datenbank-Fehler
Dokument
instructions
KurzText
messagedoc
Oh-Mann
pass-message
Passwoerter.txt
schwarze-listen
text
Textdocument
Text-Inhalt
your_article
your_passwords
RSS-каналы
