ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.Borm.55808

(Email-Worm.Win32.Morbex, W32.HLLW.Morb@mm, Win32.HLLW.Morbex, Win32.Morbex.A@mm, Worm/Morbex, Parser error, W32/Morb@MM, WORM_MORB.A, WORM_SPYBOT.CCF, I-Worm/Morbex, Win32/Morb!Worm, Win32/Morbex.A@mm)

Добавлен в вирусную базу Dr.Web: 2003-05-16

Описание добавлено:

Описание

Win32.HLLM.Borm.55808 - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/ Me/NT/ 2000/ XP.

Написан на языке программирования высокого уровня Borland Delphi. Упакован упаковщиком UPX.

Для распространения червь использует электронную почту, отправляя свои инфицированные копии по всем адресам, обнаруженным в папке «Входящие» приложения Microsoft Outlook Express, сеть диалогового общения в Интернете ICQ, а также предпринимает попытки распространяться по файлообменным сетям.

Червь помещает в систему троянский компонент, который открывает порт 81, что приводит к компрометации системы.

Запуск вируса

С целью обеспечения своего автоматического запуска в инфицированной системе при каждом начале работы пользователя в Windows червь вносит изменения в следующие реестровые записи:

  • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\
    \"svchost\" = %WinDir%\\SVCHOST.EXE
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\
    \"svchost\" = %WinDir%\\SVCHOST.EXE

Распространение

Почтовое сообщение, сгенерированное червем, может выглядеть следующим образом:

    Тема сообщения выбирается червем из следующего списка: 
    Check this out, 
btw, download this, 
I wanted to show you this, 
please check out, 
hey go to, 
See if you can get this to work, 
this is cool, 
this is funny, 
Free porn at 
lol, 
is this you? 
whats this? 
This is me, 
Whats wrong with? 
wtf? 
hmmmm, 
Hahaha, 
F**k this, 
weird, 
HOLY S**T, 
WOW CHECK THIS OUT, 
omg omg omg I found the best app, 
What have they done with you? 
Is this possible? 
rofl, 
b**** ;), 
How come this happened? 
This is me naked, 
Sex me up 
This guy is a moron, 
Check this out 
This is what you wanted, right? 
Microsoft Windows Security Update 
See if you can get this to work 
I admit it ... I love you 
Sex me up baby 
This is so funny 
To be or not to be? 
B-ville did it again ... 
Company information 
Here you go, I recall you asked for this. 
Hey sweety, check the attachement. 
How do you feel about this? 
Please do not make this public, thank you. 
Please install this update, its required 
Come on honey! 
I love this funny game, check it out. 
This is the stock information you wanted. 
Keep it a secret please
    Наименование вложения может быть одним из следующих: 
    Q349247.exe
information.DOC.exe
Saddam_Game.exe
I_Love_U.exe
NakedPics.JPG.exe
FreeSex.exe
B-ville.exe
StockInformation.XLS.exe
SecretFile.exe
Attachement.exe
    Размер вложения: 55 808 байт.
Для распространения по файлообменным сетям червь помещает в систему свои многочисленные копии: 
Command & Conquer Generals.exe 
Command & Conquer Generals Crack.exe 
Gods & Generals.exe 
Gods & Generals Crack.exe 
The Sims 4.exe 
The Sims 4 Crack.exe 
Splinter Cell.exe 
Splinter Cell Crack.exe 
Raven Shield - Crack.exe 
Raven Shield Keygenerator - WORKS ONLINE.exe 
Mortal Kombat - Deadly Alliance.exe 
GTA 4 - BETA.exe 
Unreal 2 Crack.exe 
Unreal 2 - The Awakening.exe 
Warcraft III - The Frozen Throne.exe

Для распространения по сети диалогового общения в Интернете mIRC червь вносит изменения в файл MIRC.INI в директории mIRC в результате чего, после осуществления соединения пользователя пораженного компьютера с сервером IRC червь начинает рассылать ссылку с IP-адресом инфицированного компьютера и номером открытого в нем порта всем пользователям сети.

Действия

Будучи активированным, червь помещает в директорию WindowsWindows 9x/ME/XP это C:\\Windows, в Windows NT/2000 это C:\\WINNT ) файлы SVCHOST.EXE и SETUP.EXE.

В ту же директорию червь помещает свой троянский компонент - файл MSAPI.EXE. Его длина 16 416 байт. Файл такой же длины, но уже под названием WINSYST32.EXE, помещается в системную директорию WindowsWindows 9x и Windows ME это C:\\Windows\\System, в Windows NT/2000 это C:\\WINNT\\System32, в Windows XP это C:\\Windows\\System32).

Чтобы обеспечить запуск своего троянского компонента при каждой перезагрузке операционной системы червь модифицирует несколько реестровых записей:

  • HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ RunServices
  • HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
  • HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
в которые добавляет данные:
\"WinSyst32\" = WINSYST32.EXE

В коде червя содержится следующая строка:

    b0rm_v0.1