Технические детали
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в
Microsoft Security Bulletin MS03-026.
Кроме этого червь пытается заразить компьютеры, на которых установлен Microsoft IIS 5.0, используя для этого уязвимость в WebDav, описание которой приведено в Microsoft Security Bulletin MS03-007.
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe.
Содержит текстовые строки:
I love my wife & baby :-)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~
Инсталляция
При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.
Удаление червя Lovesan
Червь проверяет наличие в памяти процесса с именем msblast.exe, который принадлежит червю Lovesan, и принудительно прекращает его работу. Также он ищет на диске файл msblast.exe и удаляет его.
Загрузка обновлений для Windows
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Размножение
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.
Прочее
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
RSS-каналы
