Win32.HLLM.Avril.2

Описание

Win32.HLLM.Avril.2 - почтовый червь массовой рассылки, написанный на Visual С++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX, размер червя в упакованном виде 34,815 байт. Для распространения червь использует электронную почту, адреса, найденные червем в файлах с расширениями .IDX, .NCH, .SHTML, .TBB, .HTM, .EML, .HTML, .WAB, .MBX, .DBX, доступные для совместного пользования диски локальной сети, системы диалогового общения в Интернете IRC и ICQ, а также файлообменную сеть KaZaA.

Для проникновения в систему червь использует давно известную уязвимость, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо программному файлу (в том числе, и инфицированному) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5). При этом червь использует JavaScript в теле письма, который и формирует HTML-код, позволяющий запускать пришедшее с письмом приложение на компьютере пользователя. В ряде случаев (видимо, в связи с тем, что многие антивирусные программы детектируют наличие соответствующего HTML-кода в почтовых сообщениях и не пропускают такие письма) опасный код реализован в виде HTML-формы с кнопкой (ссылкой), на которую пользователю предлагается нажать, и лишь при нажатии происходит запуск червя на компьютере.

Распространение

Для распространения по электронной почте червь использует свою собственную реализацию протокола SMTP. Значение сервера SMTP для зараженного компьютера червь находит в следующей реестровой записи:

HKCU\\Software\\Microsoft\\Office\\Outlook\\OMI Account Manager\\Accounts\\....\\SMTP Server
HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts\\.....\\SMTP Server

Почтовое сообщение, рассылаемое червем, обладает следующими характеристиками:

В поля и червь подставляет произвольные почтовые адреса, обнаруженные им на компьютере пользователя. При этом имя отправителя указывается реальное, поскольку берется из системного реестра зараженного компьютера.

Тема сообщения всегда начинается с символов RE: или FW:, создавая впечатление, что полученное письмо является либо ответом на отосланное с пораженного компьютера сообщение, либо переслано от другого пользователя и может быть одной из следующих:

Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge\'s Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don\'t miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky \"Crime and Punishment\"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?

AVRIL LAVIGNE - THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I\'m with you!
Chart attack active list:

AVRIL LAVIGNE - THE BEST
Avril Lavigne\'s popularity increases:>
SO: First, Vote on TRL for I\'m With U!
Next, Update your pics database!
Chart attack active list .>.>\"
     

Network Associates weekly report:
Microsoft has identified a security vulnerability in Microsoft® 
IIS 4.0 and 5.0 that is eliminated by a previously-released patch.
Customers who have applied that patch are already protected 
against the vulnerability and do not need to take additional action.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who 
have not already done so to apply the patch immediately.
Patch is also provided to subscribed list of Microsoft® Tech Support:

Restricted area response team (RART)
Attachment you sent to is intended to overwrite 
start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply the MSO-patch

Наименование вложения выбирается червем из следующего списка и всегда содержит расширение .exe.:

Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe

Действия

Червь пытается прервать найденные им процессы ряда антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности:

KPF.EXE 
KPFW32.EXE 
_AVPM.EXE 
AUTODOWN.EXE 
AVKSERV.EXE 
AVPUPD.EXE
BLACKD.EXE 
CFIND.EXE 
CLEANER.EXE 
ECENGINE.EXE 
F-PROT.EXE 
FP-WIN.EXE
IAMSERV.EXE 
ICLOADNT.EXE 
IFACE.EXE 
LOOKOUT.EXE 
N32SCAN.EXE 
NAVW32.EXE
NORMIST.EXE 
PADMIN.EXE 
PCCWIN98.EXE 
RAV7WIN.EXE 
SCAN95.EXE 
SMC.EXE 
TCA.EXE
VETTRAY.EXE 
VSSTAT.EXE 
ACKWIN32.EXE 
AVCONSOL.EXE 
AVPNT.EXE 
AVPDOS32.EXE
AVSCHED32.EXE 
BLACKICE.EXE 
EFINET32.EXE 
CLEANER3.EXE 
ESAFE.EXE
F-PROT95.EXE 
FPROT.EXE 
IBMASN.EXE 
ICMOON.EXE 
IOMON98.EXE 
LUALL.EXE
NAVAPW32.EXE 
NAVWNT.EXE 
NUPGRADE.EXE 
PAVCL.EXE 
PCFWALLICON.EXE
RESCUE.EXE 
SCANPM.EXE 
SPHINX.EXE 
TDS2-98.EXE 
VSSCAN40.EXE 
WEBSCANX.EXE
WEBSCAN.EXE 
ANTI-TROJAN.EXE 
AVE32.EXE 
AVP.EXE 
AVPM.EXE 
AVWIN95.EXE
CFIADMIN.EXE 
CLAW95.EXE 
DVP95.EXE 
ESPWATCH.EXE 
F-STOPW.EXE 
FRW.EXE
IBMAVSP.EXE 
ICSUPP95.EXE 
JED.EXE 
MOOLIVE.EXE 
NAVLU32.EXE 
NISUM.EXE 
NVC95.EXE
NAVSCHED.EXE 
PERSFW.EXE 
SAFEWEB.EXE 
SCRSCAN.EXE 
SWEEP95.EXE 
TDS2-NT.EXE
VSECOMR.EXE 
WFINDV32.EXE 
AVPCC.EXE 
_AVPCC.EXE 
APVXDWIN.EXE 
AVGCTRL.EXE
_AVP32.EXE 
AVPTC32.EXE 
AVWUPD32.EXE 
CFIAUDIT.EXE 
CLAW95CT.EXE
DV95_O.EXE 
DV95.EXE 
F-AGNT95.EXE 
FINDVIRU.EXE 
IAMAPP.EXE 
ICLOAD95.EXE
ICSSUPPNT.EXE 
LOCKDOWN2000.EXE 
MPFTRAY.EXE 
NAVNT.EXE 
NMAIN.EXE
OUTPOST.EXE 
NAVW.EXE 
RAV7.EXE 
SCAN32.EXE 
SERV95.EXE 
TBSCAN.EXE 
VET95.EXE
VSHWIN32.EXE 
ZONEALARM.EXE 
AVPMON.EXE 
AVP32.EXE

Также червь принудительно останавливает процессы, в заголовках окон которых есть слова:

virus 
anti 
McAfee 
Virus 
Anti 
AVP 
Norton

Будучи запущенным в пораженной системе червь осуществляет соединение с сайтом web.host.kz и пытается загрузить с него в систему троянскую программу BackOrifice, которую в последствии активирует (в настоящее время эта возможность заблокирована администрацией сайта).

7, 11 или 24 числа каждого месяца червь открывает веб-страницу http://www.avril-lavigne.com и на поверхности Рабочего стола появляются разноцветные графические рисунки.

Червь также отсылает файлы, содержащие пароли пользователя (файлы с расширением PWL), и отправляет их по следующим адресам:

otto_aw@smtp.ru 
otto_alavigne@smtp.ru 
otto_avril_ii@smtp.ru
otto_avril@smtp.ru