Описание
Win32.HLLM.Lorraine почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Программный модуль червя написан на языке программирования Borland Delphi и упакован упаковочной утилитой UPX, его размер в упакованном виде 180736 байт. Червь массово распространяется по электронной почте, через систему диалогового общения в Интернете ICQ и по файлообменным сетям Edonkey2000, Gnucleus, Grokster, KaZaA, KaZaA Lite, Limewire, Morpheus.
Запуск вируса
С целью обеспечения своего запуска при каждом начале работы пользователя в Windows
червь добавляет данные
\" Lorraine = \"%WinSys\\Lorraine.exe\"
в реестровую запись
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\
Распространение
Распространение по электронной почте
Червь массово распространяется по электронной почте по всем адресам, обнаруженным им в списке
контактов MSN Messenger. Почтовые сообщения, инфицированные червем
Win32.HLLM.Lorraine могут выглядеть следующим образом:
Темы сообщений и сопроводительные тексты к письмам, составлены на испанском языке и выбираются червем из списка, хранящегося в теле червя и могут иметь, например, следующий вид,
Адрес отравителя: lorena@hotmail.com Тема: Te Amo Текст: Averigua por que..... Вложение: porqueteamo.pif Тема: RE: Test de idiots Текст: Compruebe si usted es un verdadero idiota. Вложение: test-idiota.pif Subject: Kamasutra Текст: Kamasutra el arte del sexo Вложение: kamasutra.pif Адрес отравителя: support@hotmail.com Тема: Su cuenta de hotmail sera eliminada Текст: Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta sera removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail. Вложение: hotmail.pif Адрес отравителя: Anti-Spam@campana.com Тема: SPAM La proxima gran epidemia Текст: El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la publicidad. Вложение: No-Spam.exe
Вложение может иметь одно из следующих названий:
amigos.pif amigototote.pif amor-por-ti.pif antiwinlogon.pif antrox.scr BigBrother.pif bugmsn.pif chistesgraficos.pif chupamelo.pif comotegustan.pif CracksPPZ.pif cristina-aguilera.pif defaced-madonna-site.pif eggbrother.exe EICAX.COM existeee.pif financiamiento.pif GEDZAC.PIF grancarnal.exe grande.pif hackeahotmail.pif historial.pif hotmail.pif kamasutra.pif lacosha@hotmail.com LatinCard.pif linuxandmicrosoft.pif Lorenaaaa.pif Madonna_sEXY.pif MariaVirgen.pif Matrix-Trailer.pif mujeres.pif Musica.pif No-Spam.exe nuevovirus.txt .pif Oradores.pif osamabinhuevoback.exe parejaideal.txt.pif petardas.pif porqueteamo.pif projimo.pif relacionsexual.pif resetarios.pif SARS.pif seguridad_en_hotmail.pif serhacker.pif Shakira.pif solo-a-ti.pif Spamno.pif teamo.exe te-pido.scr test-idiota.pif testpasion.pif thalialoca.pif TutorialVBSvirus.pif WindowsMediaPlayerBug.pif www.mfernanda.com www.vsantiviru.com www.zonaviru.com zorrotttas.pifРаспространение по файлообменным сетям
Червь способен распространяться по файлообменным сетям Edonkey2000, Gnucleus, Grokster, KaZaA, KaZaA Lite, Limewire, Morpheus. для чего копирует себя в соответствующие разделяемые директории этих сетей
\\edonkey2000\\incoming\\ \\gnucleus\\downloads\\ \\Grokster\\My Grokster\\ \\icq\\shared files\\ \\KaZaA\\My Shared Folder\\ \\kazaa lite\\my shared folders\\ \\limewire\\shared\\ \\morpheus\\my shared folder\\в виде файлов со следующими именами и двойным расширением gif.exe:
Sexy Bikini .gif .exe Sexo en la playa con .gif .exe las pelotas de .gif .exe Desnuda en la playa .gif .exe Nude Pic .gif .exe Sexy Beach .gif .exe Galilea Montijo.gif .exe Shakira.gif .exe Britney Spears.gif .exe Lorena.gif .exe Halle berry.gif .exe Cameron dias.gif .exe Pink.gif .exe Thalia.gif .exe Paulina Rubio.gif .exe Francini.gif .exe Brenda.gif .exe Celine Dion.gif .exe Kylie Minogue.gif .exe Laura Pausini.gif .exe Lili Brillanti.gif .exe Angelica Vale.gif .exe Alejandra Guzman.gif .exeЛибо в виде файлов с единственным расширением .exe:
Ad-aware Adobe Acrobat Reader (32-bit) AOL Instant Messenger (AIM) Biromsoft WebCam Copernic Agent crack all versions Cracked Delphi 6 Diet Kaza DirectDVD DivX Video Bundle Download Accelerator Plus FireWorks 4 FIreWorks MX Full version Global DiVX Player Grokster ICQ Lite ICQ Pro 2003a beta iMesh JetAudio Basic Kaspersky Antivirus Kazaa Download Accelerator Kazaa Media Desktop KeyGen Matrix Movie McAfee Antivirus Microsoft Internet Explorer Microsoft Office XP Microsoft Windows 2003 Microsoft Windows Media Player Morpheus msn hack MSN Messenger (Windows NT/2000) Nero Burning ROM NetPumper Network Cable e ADSL Speed Norton Antivirus Office 2003 Panda Antivirus PerAntivirus Pop-Up Stopper QuickTime RealOne Free Player Registry Mechanic SnagIt SolSuite 2003: Solitaire Card Games Suite Spybot - Search & Destroy Trillian Virtual Girl Sofia Visual Studio Net Winamp WinMX WinRAR WinZip WS_FTP LE (32-bit) XoloX Ultra ZoneAlarm
Действия
Будучи запущенным на компьютере червь помещает инфицируемую систему несколько файлов:
