Win32.HLLM.Avril.1

Описание

Win32.HLLM.Avril.1 - почтовый червь массовой рассылки, написанный на Visual С++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX, размер червя в упакованном виде 32,766 байт. Для распространения червь использует электронную почту, адреса, найденные червем в файлах с расширениями DBX, EML, IDX, HTML,HTM, MBX, NCH, TBB, SHTML, WAB, доступные для совместного пользования диски локальной сети, системы диалогового общения в Интернете IRC и ICQ, а также файлообменную сеть KaZaA. При обработке адресов, обнаруженных в файлах с указанными расширениями, червь не производит проверки на правильность адреса, поэтому при массовой рассылке своих копий Win32.HLLM.Avril.1 использует любые сочетания типа хххх@xxxxx. Найденные адреса червь сохраняет в файле listrecp.dll, создаваемом в директории Windows.

Для проникновения в систему червь использует давно известную уязвимость, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо программному файлу (в том числе, инфицированному) автоматически запускаться при простом просмотре почты при помощи таких почтовых клиентов, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).

Распространение

Для распространения по электронной почте червь использует свою собственную реализацию протокола SMTP. Значение сервера SMTP для зараженного компьютера червь находит в следующих реестровых записях:

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts\\00000001\\SMTP Server

HKCU\\Software\\Microsoft\\Office\\Outlook\\OMI Account Manager\\Accounts\\00000001\\SMTP Server

Почтовое сообщение, рассылаемое червем, обладает следующими характеристиками:

Тема сообщения всегда начинается с символов RE: или FW:, создавая впечатление, что полученное письмо является либо ответом на отосланное с пораженного компьютера сообщение, либо переслано от другого пользователя и может быть одной из следующих:

Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

Avril fans subscription FanList admits you to take in Avril Lavigne 2003 
Billboard awards ceremony Vote for I\'m with you! Admission form 
attached below

Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 
and 5.0 that is eliminated by a previously-released patch. 
Customers who have applied that patch are already protected against
the vulnerability and do not need to take additional action. 
Microsoft strongly urges all customers using IIS 4.0 and 5.0
 who have not already done so to apply the patch immediately. 
Patch is also provided to subscribed list of Microsoft® Tech Support:
     
Restricted area response team (RART) Attachment you sent to 
(далее следует адрес аналогичный содержащемуся в поле FROM:)
 is intended to overwrite start address at 0000:HH4F 
To prevent from the further buffer overflow attacks apply the 
MSO-patch

IAmWiThYoU.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Readme.exe
Resume.exe
Sk8erBoi.exe
Singles.exe
Sophos.exe
Two-Up-Secretly.exe
Transcripts.exe

Для распространения по сети диалогового общения в Интернете IRC червь помещает модифицированный файл NONEscript.ini в директорию IRC в результате чего, после осуществления соединения пользователя пораженного червем компьютера с сервером IRC происходит соединение с каналом #avrillavigne и начинается рассылка зараженных червем копий всем пользователям подсоединившимся к этому каналу.

Для распространения по сети диалогового общения в Интернете ICQ червь осуществляет поиск директории ICQ в ключе реестра
HKEY_LOCAL_MACHINE\\Microsoft\\Windows\\CurrentVersion\\ App Paths\\ICQ.EXE\\
и, в случае нахождения таковой, копирует файл ICQMAPI.DLL в системную директорию Windows после чего начинает рассылать себя по всем контактам содержащимся в локальной директории ICQ пораженного компьютера.

Для распространения по одноранговой сети обмена файлами KaZaA через ключ реестра HKEY_CURRENT_USER\\Software\\KaZaA\\Transfer\\ червь осуществляет поиск такой директории и копирует себя в нее в виде файла с расширением .EXE и случайно сгенерированным именем, после чего становится доступным для всех пользователей этой сети.

Действия

Будучи активированным, червь копирует себя в системную директорию Windows (в Windows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32) в виде исполняемого файла с расширением .EXE и сгенерированным из 11 символов именем, для обеспечения автоматического запуска которого при каждом начале работы пользователя в Windows червь вносит изменения в реестровую запись
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run\\Avril Lavigne - Muse = <системная директория Windows>\\сгенерированное червем имя.exe . Дополнительно червь создает еще один ключ реестра HKEY_LOCAL_MACHINE\\Software\\OvG\\Avril Lavigne и присваивает ему значение \"Done\", а также создает семафор AVRIL_LAVIGNE_LET_GO для обозначения своего присутствия в системе.

Еще две свои копии червь помещает в директорию Windows\\Temp. Название одного файла будет соответствовать названию вложения, в виде которого червь попал на компьютер жертвы, другой файл с расширением .TFT не имеет фиксированного названия.

В ту же директорию червь помещает обычный текстовый файл avril_ii.inf в котором, в частности, содержатся следующие строки:

Avril-II
Made in .::]|KaZAkHstaN|[::.
2002 (c) Otto von Gutenberg

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Кроме того, червь также находит в системе файлы с паролями пользователей (*.PWL) и отсылает их на определенный почтовый адрес.