Описание
Win32.HLLM.Cyclone.3 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Написан на языке программирования высокого уровня MS Visual Basic. Упакован компрессионной утилитой PeTite.
Размер червя в упакованном виде 18 696 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Снабжен механизмом распространения по файлоообменной сети KaZaA.
Червь перезаписывает хост файл, блокируя таким образом доступ пользователя инфицированного компьютера к сайтам антивирусных компаний.
Запуск вируса
Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь прописывает путь к своей копии в двух ключах системного реестра, для чего вносит данные
\"Monitoring Service\"=\"%WinDir%\\Tasks\\svchost.exe\"
в реестровые записи
Распространение
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Адреса для рассылки червь получает из файлов с расширениями .mbx, .wab, .html, .eml, .htm, .asp, .shtml, .txt и .dbx, которые он находит в следующих директориях:
%Internet Cache%
%My Documents%
%Application Data%\\microsoft\\address book\\
%Application Data%\\Mozilla\\Profiles\\default\\
%Application Data%\\Identities\\
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом.
Темы сообщений выбираются из следующего списка:
How cute is your credit card number!! :))
E-mail account disabling warning for %s
RE: %s
i have your password :)
RE: Thank You!
RE: details (%s)
Password Reset For %s
Undelivered Mail Returned to Sender (%s)
about you
Your account (%s) will be closed
Your IP has been logged
Mail Delivery System (%s)
Mail Transaction Failed (%s)
IMPORTANT %s!
Confidential user information!
Наименование вложения может быть следующим:
document
information.scr
hello.exe
hello.scr
text.txt.exe
untitled.exe
secret!!.exe
unknown1.exe
CoolText.exe
EULA-USA.exe
secret!!
password
readmeUS
hello***txt
Расширение вложения может быть .bat, .exe., .pif или .src.
Распространение по файлообменной сети KaZaA
Через ключ реестра HKEY_LOCAL_MACHINE\\Software\\Kazaa\\LocalContent \"DownloadDir\"
червь осуществляет поиск разделяемой директории и копирует себя в нее в виде файлов со следующими названиями:
Playboy Screensaver Dec 2003.scr
Strip Girls-part%*.scr
Sky lopez - Screensaver.scr
Winamp5.01.exe
где * - произвольное число.
Действия
Чтобы избежать повторного инфицирования системы, червь создает семафор \"%s!!!Bugs-Fixed!\" , где %s - имя компьютера. Далее, он копирует себя в виде файла svchost.exe в директорию Windows\\Tasks.
Еще одну свою копию WebCheck.pif червь помещает в папку Startup в директории Documents and Settings.
Также червь помещает в директорию Windows\\System32 еще несколько файлов:
01CHECK.DLL 01EML.DLL 01ENEL.DLL 01SEML.DLL 01URL.DLL 01VIS.DLLВ пораженной системе червь ищет файл eula.txt, копирует его в %temp%\\doc и демонстрирует через Notepad.
Червь перезаписывает хост файлы (в Windows NT/2000/XP это %SysDir%\\drivers\\etc\\hosts), блокируя, таким образом, доступ пользователю инфицированного компьютера к сайтам антивирусных компаний:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
microsoft.com
www.microsoft.com
support.microsoft.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
В директории Windows червь создает файл Cyclone.v0.00002.htm, в котором, в частности, содержится следующий текст:
We need freedom in iran
We don\'t want islamic republic
