Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.MailSpamer

Добавлен в вирусную базу Dr.Web: 2011-10-24

Описание добавлено:

Почтовый червь, распространяется через службы файлового обмена, ссылки на которые отсылаются в сообщениях электронной почты с темой «Re: С проекта Ответы@Mail.Ru». Представляет собой RAR-архив, содержащий исполняемый файл setup.exe и документ readme.doc. В последнем в зашифрованном виде хранится вредоносная программа.

Файл расшифровывается и сохраняется в %Program%\WinRar\fmt.dll. DLL расшифровывает из своего тела исполняемый файл и запускает его. Создаёт свою копию в %Program%\WinRar\MDM.exe и устанавливает в реестре следующие параметры:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MDM.exe=%Program%\WinRar\MDM.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0, EnableSecureUIAPaths=0
SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA ValueType=0
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0, EnableSecureUIAPaths=0
SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA ValueType=0
S-1-5-21-16274667-177076454-568880354-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0
создаёт мютекс bd0dd71ed66691fa2a25ebaea3738013 сигнализирующий о конце установки, и запускает mdm.exe.

Полезная нагрузка

Mdm.exe получает информацию о стране на 2ip.ru и определяет OS и значение серийного номера жёсткого диска. Загружает программу alqon.exe, получает конфигурационный файл с параметрами почтового сообщения и соединения с SMTP-сервером. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.