Описание
Win32.HLLM.Anacon - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/ Me/NT/ 2000/ XP.
Написан на языке программирования высокого уровня Microsoft Visual Basic. Упакован упаковщиком UPX, размер исполняемого модуля червя в упакованном виде 86 016 байта, в распакованном 137 651 байт.
Для распространения червь использует электронную почту, адреса, найденные в списке контактов Microsoft Outlook , сеть диалогового общения в Интернете ICQ, а также одноранговые сети обмена музыкальными, аудио и видео файлами BearShare, Grokster, Edonkey2000, KaZaA, KaZaA Lite, LimeWire, и Morpheus .
Червь обладает способностями троянской утилиты люка, обеспечивая доступ удаленному пользователю в пораженную систему.
Предпринимает попытки останавливать процессы антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности.
Червь значительно потребляет системные ресурсы, что приводит к существенному снижению ее производительности.
Запуск вируса
С целью обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит изменения в следующие реестровые записи:
Nocana = \"%SysDir%\\WARS.EXE\"
AHU = \"%SysDir%\\\\SYSPOLY32.EXE\"
InterceptedSystem = \"% SysDir %\\\\SYSPOLY32.EXE\"
PowerManagement = \"% SysDir %\\\\SYSPOLY32.EXE\"
Распространение
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:
Тема сообщения может отсутствовать или выбираться червем из следующего списка:
What New in TechTV!
Do you happy?
Great News! Check it out now!
Just for Laught!
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Oh, my girl!
Crack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
VBCode: Prevent Your Application From Crack
Re: are you married?[1]
Download WinZip 9.0 Beta
Young and Dangerous 7
Alert! W32.Anacon.B@mm Worm has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
Tired to Search Anonymous SMTP Server?
Текст сообщения:
Hello dear, I\'m gonna missed you babe, hope we can see again! In Love, Rekcahlem ~<>~ AnaconНаименование вложения выбирается червем из следующего списка:
ANACON.EXE BUILD.EXE FORCE.EXE SCAN.EXE RUNTIME.EXE HANGUP.EXE HUNGRY.EXE THING.EXE AGAINST.EXE WARS.EXE
Для распространения по файлообменным сетям червь осуществляет поиск следующих директорий:
%ProgramFiles%\\KMD\\My Shared Folder\\ %ProgramFiles%\\Kazaa\\My Shared Folder\\ %ProgramFiles%\\KaZaA Lite\\My Shared Folder\\ %ProgramFiles%\\Morpheus\\My Shared Folder\\ %ProgramFiles%\\Grokster\\My Grokster\\ %ProgramFiles%\\BearShare\\Shared\\ %ProgramFiles%\\Edonkey2000\\Incoming\\ %ProgramFiles%\\limewire\\Shared\\в которые помещает свои многочисленные копии в виде файлов под следующими названиями:
The Matrix Evolution.mpg.EXE The Matrix Reloaded Preview.jpg.EXE Jonny English (JE).avi.EXE DOOM III Demo.EXE winamp3.EXE JugdeDread.EXE Microsoft Visual Studio.EXE gangXcop.EXE Upgrade you HandPhone.EXE About SARS Solution.doc.EXE Dont eat pork. SARS in there.jpg.EXE VISE.EXE MSVisual C++.EXE QuickInstaller.EXE Q111023.EXE jdbgmgr.EXE WindowsXP PowerToys.EXE InternationalDictionary.EXE EAGames.EXE SEX_HOTorCOOL.EXE
Действия
Будучи активированным, червь помещает в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) свою копию, которой присваивается такое же имя, под которым червь попал в систему.
Поселившись в систем червь открывает случайным образом выбранный порт и ждет команд от удаленного пользователя. Подобные его действия приводят к компрометации системы и позволяют нападающему осуществлять в пораженной систем различные действия несанкционированные легитимным пользователем. Червь похищает с пораженного компьютера различную информацию о системе - IP-адрес, имя пользователя и имя компьютера, кэшированные адреса, тип операционной систем, версию браузера, номер открытого порта, параметры разрешения экрана, текущее системное время - и отсылает ее по адресу chatza@phreaker.net, предположительно своему автору. Через открытый в инфицированном компьютере люк нападающий может обновлять компоненты червя, читать и удалять файлы.
Червь останавливает процессы антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности:
Zonealarm.exe Wfindv32.exe Webscanx.exe Vsstat.exe Vshwin32.exe Vsecomr.exe Vscan40.exe Vettray.exe Vet95.exe Tds2-Nt.exe Tds2-98.exe Tca.exe Tbscan.exe Sweep95.exe Sphinx.exe Smc.exe Serv95.exe Scrscan.exe Scanpm.exe Scan95.exe Scan32.exe Safeweb.exe Regedit.exe Rescue.exe Rav7win.exe Rav7.exe Persfw.exe Pcfwallicon.exe Pccwin98.exe Pavw.exe Pavsched.exe Pavcl.exe Padmin.exe Outpost.exe Nvc95.exe Nupgrade.exe Normist.exe Nmain.exe Nisum.exe Navwnt.exe Navw32.exe Navnt.exe Navlu32.exe Navapw32.exe N32scanw.exe Mpftray.exe Moolive.exe Luall.exe Lookout.exe Lockdown2000.exe Jedi.exe Iomon98.exe Iface.exe Icsuppnt.exe Icsupp95.exe Icmon.exe Icloadnt.exe Icload95.exe Ibmavsp.exe Ibmasn.exe Iamserv.exe Iamapp.exe Frw.exe Fprot.exe Fp-Win.exe Findviru.exe f-Stopw.exe f-Prot95.exe f-Prot.exe f-Agnt95.exe Espwatch.exe Esafe.exe Ecengine.exe Dvp95_0.exe Dvp95.exe Cleaner3.exe Cleaner.exe Claw95cf.exe Claw95.exe Cfinet32.exe Cfinet.exe Cfiaudit.exe Cfiadmin.exe Blackice.exe Blackd.exe Avwupd32.exe Avwin95.exe Avsched32.exe Avpupd.exe Avptc32.exe Avpm.exe Avpdos32.exe Avpcc.exe Avp32.exe Avp.exe Avnt.exe Avkserv.exe Avgctrl.exe Ave32.exe Avconsol.exe Autodown.exe Apvxdwin.exe Anti-Trojan.exe Ackwin32.exe _Avpm.exe _Avpcc.exe _Avp32.exeВ коде червя содержатся следующие строки:
I WARN TO YOU! DON\'T PLAY STUPID WITH ME! ANACON MELHACKER WILL
SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain, Foot-Art and
AQTE Anacon G0t ya! By Melhacker