Описание
Win32.HLLM.Avril.1 - почтовый червь массовой рассылки, написанный на Visual С++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX, размер червя в упакованном виде 32,766 байт. Для распространения червь использует электронную почту, адреса, найденные червем в файлах с расширениями DBX, EML, IDX, HTML,HTM, MBX, NCH, TBB, SHTML, WAB, доступные для совместного пользования диски локальной сети, системы диалогового общения в Интернете IRC и ICQ, а также файлообменную сеть KaZaA. При обработке адресов, обнаруженных в файлах с указанными расширениями, червь не производит проверки на правильность адреса, поэтому при массовой рассылке своих копий Win32.HLLM.Avril.1 использует любые сочетания типа хххх@xxxxx. Найденные адреса червь сохраняет в файле listrecp.dll, создаваемом в директории Windows.
Для проникновения в систему червь использует давно известную уязвимость, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо программному файлу (в том числе, инфицированному) автоматически запускаться при простом просмотре почты при помощи таких почтовых клиентов, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).
Распространение
Для распространения по электронной почте червь использует свою собственную реализацию протокола SMTP. Значение сервера SMTP для зараженного компьютера червь находит в следующих реестровых записях:
HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts\\00000001\\SMTP Server
HKCU\\Software\\Microsoft\\Office\\Outlook\\OMI Account Manager\\Accounts\\00000001\\SMTP Server
Почтовое сообщение, рассылаемое червем, обладает следующими характеристиками:
Тема сообщения всегда начинается с символов RE: или FW:, создавая впечатление, что полученное письмо является либо ответом на отосланное с пораженного компьютера сообщение, либо переслано от другого пользователя и может быть одной из следующих:
Fw: Prohibited customers... Re: Brigade Ocho Free membership Re: According to Daos Summit Fw: Avril Lavigne - the best Re: Reply on account for IIS-Security Re: ACTR/ACCELS Transcriptions Re: The real estate plunger Fwd: Re: Admission procedure Re: Reply on account for IFRAME-Security breach Fwd: Re: Reply on account for Incorrect MIME-headerТекст сообщения: в теле червя содержится несколько вариантов текстов, составляющих при формировании инфицированного письма тело такого сообщения.
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I\'m with you! Admission form attached below
(далее следует адрес аналогичный содержащемуся в поле FROM:)
is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
IAmWiThYoU.exe AvrilSmiles.exe AvrilLavigne.exe Complicated.exe Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe Download.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Readme.exe Resume.exe Sk8erBoi.exe Singles.exe Sophos.exe Two-Up-Secretly.exe Transcripts.exeДля распространения по сетевым доступным для совместного пользования дискам червь помещает свою копию в директорию Windows\\Recycled на один из таких дисков в виде файла со случайным именем и расширением .EXE. Червь вносит изменения в пакетный файл AUTOEXEC.BAT этого разделяемого ресурса для обеспечения своего запуска при каждом начале работы в Windows:
Для распространения по сети диалогового общения в Интернете IRC червь помещает модифицированный файл NONEscript.ini в директорию IRC в результате чего, после осуществления соединения пользователя пораженного червем компьютера с сервером IRC происходит соединение с каналом #avrillavigne и начинается рассылка зараженных червем копий всем пользователям подсоединившимся к этому каналу.
Для распространения по сети диалогового общения в Интернете ICQ червь осуществляет поиск директории ICQ в ключе реестра
HKEY_LOCAL_MACHINE\\Microsoft\\Windows\\CurrentVersion\\
App Paths\\ICQ.EXE\\
и, в случае нахождения таковой, копирует файл ICQMAPI.DLL в системную директорию Windows после чего начинает рассылать себя по всем контактам содержащимся в локальной директории ICQ пораженного компьютера.
Для распространения по одноранговой сети обмена файлами KaZaA через ключ реестра HKEY_CURRENT_USER\\Software\\KaZaA\\Transfer\\ червь осуществляет поиск такой директории и копирует себя в нее в виде файла с расширением .EXE и случайно сгенерированным именем, после чего становится доступным для всех пользователей этой сети.
Действия
Будучи активированным, червь копирует себя в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) в виде исполняемого файла с расширением .EXE и сгенерированным из 11 символов именем, для обеспечения автоматического запуска которого при каждом начале работы пользователя в Windows червь вносит изменения в реестровую запись
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Run\\Avril Lavigne - Muse = <системная директория Windows>\\сгенерированное червем имя.exe . Дополнительно червь создает еще один ключ реестра HKEY_LOCAL_MACHINE\\Software\\OvG\\Avril Lavigne и присваивает ему значение \"Done\", а также создает семафор AVRIL_LAVIGNE_LET_GO для обозначения своего присутствия в системе.
Еще две свои копии червь помещает в директорию Windows\\Temp. Название одного файла будет соответствовать названию вложения, в виде которого червь попал на компьютер жертвы, другой файл с расширением .TFT не имеет фиксированного названия.
В ту же директорию червь помещает обычный текстовый файл avril_ii.inf в котором, в частности, содержатся следующие строки:
Avril-II Made in .::]|KaZAkHstaN|[::. 2002 (c) Otto von GutenbergЧервь пытается прервать найденные им процессы ряда антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIND.EXE CLAW95.EXE CLAW95CT.EXE CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE DVP95.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FINDVIRU.EXE FP-WIN.EXE FPROT.EXE FRW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE IFACE.EXE IOMON98.EXE JED.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE7, 11 и 24 числа каждого месяца червь открывает веб-страницу http://www.avril-lavigne.com и на поверхности Рабочего стола появляются разноцветные графические рисунки.
Кроме того, червь также находит в системе файлы с паролями пользователей (*.PWL) и отсылает их на определенный почтовый адрес.