Описание
Win32.HLLM.Borm.55808 - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/ Me/NT/ 2000/ XP.
Написан на языке программирования высокого уровня Borland Delphi. Упакован упаковщиком UPX.
Для распространения червь использует электронную почту, отправляя свои инфицированные копии по всем адресам, обнаруженным в папке «Входящие» приложения Microsoft Outlook Express, сеть диалогового общения в Интернете ICQ, а также предпринимает попытки распространяться по файлообменным сетям.
Червь помещает в систему троянский компонент, который открывает порт 81, что приводит к компрометации системы.
Запуск вируса
С целью обеспечения своего автоматического запуска в инфицированной системе при каждом начале работы пользователя в Windows червь вносит изменения в следующие реестровые записи:
\"svchost\" = %WinDir%\\SVCHOST.EXE
\"svchost\" = %WinDir%\\SVCHOST.EXE
Распространение
Почтовое сообщение, сгенерированное червем, может выглядеть следующим образом:
-
Тема сообщения выбирается червем из следующего списка:
Check this out, btw, download this, I wanted to show you this, please check out, hey go to, See if you can get this to work, this is cool, this is funny, Free porn at lol, is this you? whats this? This is me, Whats wrong with? wtf? hmmmm, Hahaha, F**k this, weird, HOLY S**T, WOW CHECK THIS OUT, omg omg omg I found the best app, What have they done with you? Is this possible? rofl, b**** ;), How come this happened? This is me naked, Sex me up This guy is a moron, Check this out This is what you wanted, right? Microsoft Windows Security Update See if you can get this to work I admit it ... I love you Sex me up baby This is so funny To be or not to be? B-ville did it again ... Company information Here you go, I recall you asked for this. Hey sweety, check the attachement. How do you feel about this? Please do not make this public, thank you. Please install this update, its required Come on honey! I love this funny game, check it out. This is the stock information you wanted. Keep it a secret pleaseНаименование вложения может быть одним из следующих:
Q349247.exe information.DOC.exe Saddam_Game.exe I_Love_U.exe NakedPics.JPG.exe FreeSex.exe B-ville.exe StockInformation.XLS.exe SecretFile.exe Attachement.exeРазмер вложения: 55 808 байт. Для распространения по файлообменным сетям червь помещает в систему свои многочисленные копии:
Command & Conquer Generals.exe Command & Conquer Generals Crack.exe Gods & Generals.exe Gods & Generals Crack.exe The Sims 4.exe The Sims 4 Crack.exe Splinter Cell.exe Splinter Cell Crack.exe Raven Shield - Crack.exe Raven Shield Keygenerator - WORKS ONLINE.exe Mortal Kombat - Deadly Alliance.exe GTA 4 - BETA.exe Unreal 2 Crack.exe Unreal 2 - The Awakening.exe Warcraft III - The Frozen Throne.exe
Для распространения по сети диалогового общения в Интернете mIRC червь вносит изменения в файл MIRC.INI в директории mIRC в результате чего, после осуществления соединения пользователя пораженного компьютера с сервером IRC червь начинает рассылать ссылку с IP-адресом инфицированного компьютера и номером открытого в нем порта всем пользователям сети.
Действия
Будучи активированным, червь помещает в директорию Windows (в Windows 9x/ME/XP это C:\\Windows, в Windows NT/2000 это C:\\WINNT ) файлы SVCHOST.EXE и SETUP.EXE.
В ту же директорию червь помещает свой троянский компонент - файл MSAPI.EXE. Его длина 16 416 байт. Файл такой же длины, но уже под названием WINSYST32.EXE, помещается в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32).
Чтобы обеспечить запуск своего троянского компонента при каждой перезагрузке операционной системы червь модифицирует несколько реестровых записей:
- HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
- HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ RunServices
- HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
- HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
- HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
\"WinSyst32\" = WINSYST32.EXE
В коде червя содержится следующая строка:
- b0rm_v0.1