Описание
Win32.HLLM.Avril.2 - почтовый червь массовой рассылки, написанный на Visual С++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX, размер червя в упакованном виде 34,815 байт. Для распространения червь использует электронную почту, адреса, найденные червем в файлах с расширениями .IDX, .NCH, .SHTML, .TBB, .HTM, .EML, .HTML, .WAB, .MBX, .DBX, доступные для совместного пользования диски локальной сети, системы диалогового общения в Интернете IRC и ICQ, а также файлообменную сеть KaZaA.
Для проникновения в систему червь использует давно известную уязвимость, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо программному файлу (в том числе, и инфицированному) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5). При этом червь использует JavaScript в теле письма, который и формирует HTML-код, позволяющий запускать пришедшее с письмом приложение на компьютере пользователя. В ряде случаев (видимо, в связи с тем, что многие антивирусные программы детектируют наличие соответствующего HTML-кода в почтовых сообщениях и не пропускают такие письма) опасный код реализован в виде HTML-формы с кнопкой (ссылкой), на которую пользователю предлагается нажать, и лишь при нажатии происходит запуск червя на компьютере.
Распространение
Для распространения по электронной почте червь использует свою собственную реализацию протокола SMTP. Значение сервера SMTP для зараженного компьютера червь находит в следующей реестровой записи:
HKCU\\Software\\Microsoft\\Office\\Outlook\\OMI Account Manager\\Accounts\\....\\SMTP Server
HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts\\.....\\SMTP Server
Почтовое сообщение, рассылаемое червем, обладает следующими характеристиками:
В поля
Тема сообщения всегда начинается с символов RE: или FW:, создавая впечатление, что полученное письмо является либо ответом на отосланное с пораженного компьютера сообщение, либо переслано от другого пользователя и может быть одной из следующих:
Наименование вложения выбирается червем из следующего списка и всегда содержит расширение .exe.:
Действия
Червь пытается прервать найденные им процессы ряда антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности:
Также червь принудительно останавливает процессы, в заголовках окон которых есть слова:
Будучи запущенным в пораженной системе червь осуществляет соединение с сайтом web.host.kz и пытается загрузить с него в систему троянскую программу BackOrifice, которую в последствии активирует (в настоящее время эта возможность заблокирована администрацией сайта).
7, 11 или 24 числа каждого месяца червь открывает веб-страницу http://www.avril-lavigne.com и на поверхности Рабочего стола появляются разноцветные графические рисунки.
Червь также отсылает файлы, содержащие пароли пользователя (файлы с расширением PWL), и отправляет их по следующим адресам:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge\'s Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don\'t miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky \"Crime and Punishment\"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
Текст сообщения: в теле червя содержится несколько вариантов текстов, составляющих при формировании инфицированного письма тело такого сообщения.
AVRIL LAVIGNE - THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I\'m with you!
Chart attack active list:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
При осуществлении процедуры саморассылки червь присоединяет к рассылаемым сообщениям случайно выбранные им файлы с расширениями .DOC и .TXT хранящиеся на дисках пораженного компьютера. Таким образом червь может нанести серьезный ущерб безопасности, сделав достоянием гласности конфиденциальные документы.
KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICSSUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE
virus
anti
McAfee
Virus
Anti
AVP
Norton
otto_aw@smtp.ru
otto_alavigne@smtp.ru
otto_avril_ii@smtp.ru
otto_avril@smtp.ru
В остальном поведение червя схоже с действиями его предшественника - Win32.HLLM.Avril.1.