Описание
Win32.HLLM.Bugbear.2 - почтовый червь массовой рассылки. Написан на языке программирования высокого уровня Microsoft Visual C/C++ и упакована упаковщиком UPX. Представляет собой комбинацию полиморфного и файлового вирусов.
Червь массово распространяется по электронной почте, используя собственную реализацию протокола SMTP, и обладает возможностью распространяться по сетевым доступным для совместного использования дискам. В процессе инсталляции в системе и распространения по локальной сети он инфицирует некоторые исполняемые файлы, дописывая к ним часть своего кода.
Программа содержит в себе троянский компонент - утилиту регистрации последовательности нажатия клавиш - и после попадания на компьютер открывает в пораженной системе порт 1080, что может привести к утечке конфиденциальной информации с компьютера пользователя.
Останавливает работу некоторых антивирусных программ и межсетевых экранов (брандмауэров).
Для попадания на компьютер червь использует известную уязвимость в системе безопасности MS Internet Explorer, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо
программному файлу (с вирусом) автоматически запускаться при простом
просмотре почты в таких клиентах, как MS Outlook и MS Outlook
Express (версии 5.01 и 5.5).
Распространение
После попадания в систему червь начинает рассылать себя используя собственную реализацию протокола SMTP. Данные сервера, установленного по умолчанию, червь получает из реестровой записи
SMTP Email Address Accounts\\SOFTWARE\\Microsoft\\Internet Account Manager\\Default Mail
Account
Отправка писем осуществляется по всем адресам, обнаруженным им во входящих и отправленных сообщениях инфицированного компьютера и файлах с расширениями .dbx, .eml, .mbx, .mmf, .nch, .ods, .tbs.
Червь может генерировать ответные сообщения, предварять их префиксом FW:, а также подставлять ложный адрес отправителя сообщения.
Почтовое сообщение, инфицированное Win32.HLLM.Bugbear.2, обладает следующими характеристиками:
Тема сообщения: выбирается червем из списка тем, хранящихся в его коде и может быть, например
Hello! update hmm.. Payment notices Just a reminder Correction of errors history screen Announcement various Introduction Interesting... I need help about script!!! Stats Please Help... Report Membership Confirmation Get a FREE gift! Today Only New Contests Lost & Found bad news wow! fantastic click on this! Market Update Report empty account My eBay ads Cows 25 merchants and rising CALL FOR INFORMATION! new reading Sponsors needed SCAM alert!!! Warning! its easy free shipping! News Daily Email Reminder Tools For Your Online Business New bonus in your cash account Your Gift Re: $150 FREE Bonus! Your News Alert Hi! Get 8 FREE issues - no risk! Greets!Текст сообщения: может отсутствовать или быть составлен из некоторых строк существующих в системе почтовых сообщений.
Наименование вложения генерируется червем исходя из имен, обнаруженных им в файлах пораженной системы, находящихся в папке \\\"Мои Документы\\\" и ветке реестра
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Shell Folders\\\\Personal
Вложениям присваивается двойное расширение, вторая часть которого будет обязательно .exe, .pif или .scr. В названии вложения также могут использоваться следующие слова:
Card Docs image images music news photo pics readme resume Setup song video
Распространение по дискам доступным для совместного пользования локальной сети
Червь обладает механизмом распространения по всем доступным для совместного пользования дискам локальной сети с правом записи на них, для чего копирует себя в стартовые директории Windows таких дисков.
Действия
После попадания на компьютер пользователя червь помещает в стартовую директорию Windows по адресу C:\\\\Windows\\\\All Users\\\\Start Menu\\\\Programs\\\\StartUp или C:\\\\Documents and Settings\\\\All Users\\\\Start Menu\\\\Programs\\\\Startup - свою копию - исполняемый файл с названием из случайно выбранных буквенных символов и расширением .exe
Далее червь создает файл в формате .dll c названием, сгенерированным по вышеописанному принципу из 7 буквенных символов, который является утилитой регистрации последовательности нажатия клавиш на пораженном компьютере и два файла в формате .dat в системной директории Windows.
Поселившись в системе червь открывает порт 1080 и ожидает команд от удаленного пользователя, что может привести к нарушению системы безопасности пораженного червем компьютера и осуществлению в инфицированной системе действий, несанкционированных легитимным пользователем.
Червь заражает исполняемые файлы, дописывая к ним часть своего кода:
hh.exe mplayer.exe notepad.exe regedit.exe scandskw.exe winhelp.exe
ACDSee32\\\\ACDSee32.exe Adobe\\\\Acrobat 4.0\\\\Reader\\\\AcroRd32.exe adobe\\\\acrobat5.0\\\\reader\\\\acrord32.exe AIM95\\\\aim.exe CuteFTP\\\\cutftp32.exe DAP\\\\DAP.exe Far\\\\Far.exe ICQ\\\\Icq.exe Internet Explorer\\\\iexplore.exe kazaa\\\\kazaa.exe Lavasoft\\\\Ad-aware 6\\\\Ad-aware.exe MSN Messenger\\\\msnmsgr.exe Outlook Express\\\\msimn.exe QuickTime\\\\QuickTimePlayer.exe Real\\\\RealPlayer\\\\realplay.exe StreamCast\\\\Morpheus\\\\Morpheus.exe Trillian\\\\Trillian.exe Winamp\\\\winamp.exe Windows Media Player\\\\mplayer2.exe WinRAR\\\\WinRAR.exe winzip\\\\winzip32.exe WS_FTP\\\\WS_FTP95.exe Zone Labs\\\\ZoneAlarm\\\\ZoneAlarm.exe
Червь останавливает работу следующих антивирусных программ и межсетевых экранов.
ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE _AVP32.EXE
