Описание
Win32.HLLM.Expletus.45056 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем семейства Windows. Размер программного модуля вируса, упакованного утилитой сжатия FSG - 16 208 байт.
Распространяется по электронной почте, разделяемым директориям и файлообменной сети KaZaA.
Для попадания в систему червь пытается использовать сразу две уязвимости в системе безопасности MS Windows NT\\ 2000\\ XP\\ Server 2003: в сервисе LSASS (подробнее об этом читайте в бюллетене компании MS04-011) и так называемую уязвимость DCOM RPC (бюллетень MS 03-026). В последнем случае это может привести к отказу сервиса в работе.
Распространение
В поисках почтовых адресов для своей рассылки для распространения по электронной почте червь сканирует локальную адресную книгу Windows и файлы, которые имеют следующие расширения
.htm .html .php .tbb .txtРассылка производится с помощью встроенного в тело червя механизма реализации протокола SMTP.
Почтовое сообщение, инфицированное червем, выглядит следующим образом.
Адрес отправителя: подставляется червем.
Тема сообщения может быть одной из следующих:
RE: order For you Hi, Mike Good offer. RE:Текст сообщения:
Hi. Here is the archive with those information, you asked me. And don\'t forget, it is strongly confidencial!!! Seya, man. P.S. Don\'t forget my fee ;) Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It\'s private. Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... Hi, Nick. In this archive you can find all those things, you asked me. See you. SteveВложение выбирается из следующего списка:
SecUNCE.exe AtlantI.exe AGen1.03.exe demo.exe release.exeЧтобы обеспечить свое распространение по файлообменной сети KaZaA, через ключ реестра
HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\ DlDir0
червь осуществляет поиск разделяемой директории KaZaA и копирует себя в нее в виде файлов со следующими названиями:
AVP5.xcrack.exe ICQBomber.exe hx00def.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exeФайлы с теми же названиями помещаются червем в разделяемые директории локальной сети.
Действия
Чтобы избежать повторного инфицирования системы своими копиями, червь создает семафор Expletus . Далее он помещает в директорию Windows (в Windows 9x/ME/XP это C:\\Windows, в Windows NT/2000 это C:\\WINNT ) свою копию system32\\upu.exe.
Путь к своей копии червь прописывает в ключе реестра
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run
добавляя в него значение \"NvClipRsv\"
Червь блокирует доступ к веб-сайтам антивирусных компаний перезаписывая HOST файл (находящийся по адресу system32\\drivers\\etc\\ в директории Windows)
127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.comЧерез порт TCP\\1250 червь слушает сеть и в случае нахождения уязвимой системы отдает команду загрузить в нее файл _up.exe и запустить его. Открытие порта приводит к компрометации системы и возможности проведения в ней действий, несанкционированных ее легитимным пользователем, включая загрузку и запуск различных файлов.
