Описание
Win32.Hiton - интернет червь. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. На компьютеры пользователей червь может попадать в виде файла в формате .exe, .dll или быть упакованным компрессионной утилитой WinZip. В любом случае, его размер будет составлять 44 036 байта.
Червь способен распространяться по электронной почте и файлообменным сетям.
Запуск вируса
С целью обеспечения запуска своей копии SVCHOST.EXE червь вносит изменения
в две реестровые записи
Его копия в формате .dll также регистрируется в системном реестре
\"Service Host Driver\" = %WinDir%\\SVCHOST.EXE
AutoRun = \"C:\\WINNT\\SVCHOST.EXE\"
HKEY_CURRENT_USER \\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\
InProcServer32\\ (Default) = \"%SysDir%\\MSSVC.DLL\"
Распространение
По электронной почте
Червь способен распространяться по электронной почте, используя собственную реализацию протокола SMTP. Он сканирует жесткие диски компьютера в поисках адресов для рассылки своих инфицированных копий. Ревизии подвергаются файлы со следующими расширениями:
.htm
.mht
.hlp
.dbx
.eml
.tbb
.txt
.wab
Полученные адреса червь хранит в файле wsick32.dll, создаваемом в системной директории. Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:
Адрес отправителя подставляется червем.
Тема сообщения может отсутствовать или быть одной из следующих (мы приводим некоторые из них):
*, you have to see this!
hey wuts up?
hey wuts up*?
Very funny
Useful
Hiiiiiii
Wait for more :)
warning
something for you
read it immediately
Undeliverable mail --
Server Report
Mail Delivery System
here´s the document you requested
here´s the document
Pr0n!
Here´s a nice Picture
here´s the archive you requested
New Internal Rls...
Do not release, its the internal rls!
hello*
hello
hi*
hi
Error
Ciao*
Ciao
где * - имя получателя инфицированного сообщения
Вложение может иметь следующие названия:
document
body
mail
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
Вложение может расширение. exe. .src, .htm (множество пробелов) .exe.
Распространение по файлообменным сетям и отображаемым дискам
Червь способен распространяться по файлообменным сетям. Для этого, в пораженной системе червь создает собственную директорию .{21EC2020-3AEA-1069-A2DD-08002B30309D} и копирует себя в нее, представляясь утилитами генераторов ключей.
Действия
Будучи активированным, червь помещает в систему две свои копии:
В пораженной системе червь собирает названия файлов и хранит их в создаваемом им в системной директории файле WSUCK32.DLL, которые могут им использоваться при формировании вложений к рассылаемым почтовым сообщениям.
Червь демонстрирует следующие сообщения:
-
Заголовок: Connection Error 66473:
Текст: Please check your Internet Connection or Firewall. If the Error occurs again you should Contact your ISP.
-
Заголовок: svchost.exe
Текст: successfully uninstalled. please reboot.
