Технические детали
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.
Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.
Зараженные письма содержат:
От:
big@boss.com
Заголовок письма выбирается из четырех вариантов:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Имя вложения, один из вариантов:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
Рассылка писем
При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.
Рассылка по сети
Для рассылке по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.
Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
Установка Backdoor программы
Червь скачивает из интернет текстовый файл в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.
Червь содержит строки текста:
B.ROOT-SERVERS.NET A.ROOT-SERVERS.NET
a+ \ %s
big@boss.com
[A-Za-z0-9]+[A-Za-z0-9_.-]+@(([A-Za-z0-9\-])+[.])+[A-Za-z]+
*.* x:\ From (%s) "%s" To Subject Date %s %s %c%4.4d H:mm:ss ddd, d MMM yyyy Importance
Microsoft Outlook Express 6.00.2600.0000 X-Mailer Normal X-MSMail-Priority 3 (Normal)
X-Priority ; filename=" attachment inline Content-Disposition:
Content-Transfer-Encoding: %s ; name="%s" Content-Type: %s Content Type
application/octet-stream --%s --%s-- Content-ID: (%s) Content-Transfer-Encoding: ;
charset="%s" text/ Content-Type: -- --%s Content-Type: multipart/alternative;
boundary="%s" CSmtpMsgPart123X456_001_%8.8X %s This is a multipart
message in MIME format %s: %s Message-ID 1.0 MIME-Version " ;
boundary=" mixed alternative related multipart/
CSmtpMsgPart123X456_000_%8.8X Content-
Type = =%2.2X -;.,?! Encoding took %dms ... 7bit 8bit
quoted-printable base64 SMTP tcp text/plain iso-8859-1 QUIT
EHLO %s %s Password: Username: AUTH LOGIN MAIL FROM: (%s) RCPT TO: (%s).
DATA http://www.geocities.com/reteras/reteral.txt 0 Hello Attached
file: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Re:
Movies Re: Sample Re: Document Re: Here is that sample 2003.1.23
Ret code: %d sntmls.dat dwn.dat r Windows\All Users\Start
Menu\Programs\StartUp\ Documents and Settings\All Users\Start
Menu\Programs\Startup\ $\ @pager.icq.com mail@mail.com Notify
pager.icq.com start WindowsMGM
SOFTWARE\Microsoft\Windows\CurrentVersion\Run wab dbx htm html eml txt
Worm.X winmgm32.exe Worm.X
RSS-каналы
