Описание
Win32.HLLM.Graz - почтовый червь массовой рассылки.
Распространение
1. По почте как сообщение с приложенным zip-архивом.
Пример текста сообщения:
You have received Protected Mail from MSN.com user.
This message is addressed personally for you.
To decrypt your message use the following details:
ID: 25747
Password: qeopgelhk
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Mail and instruction is attached.
Best Regards,
Protected Mail System,
MSN.com
msg.zip
message.zip
data.zip
mail.zip
При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.
2. По ICQ.
Следит за трафиком на зараженной машине и получает UIN и пароль.
Получает список контактов для данного UIN.
Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/.
На данной странице пользователю предлагается скачать "универсальный генератор ключей для игр PopCap".
Возможный текст сообщения:
PopCap deluxe games absolutely free
you like PopCap deluxe games?Play them free and no limited
PopCap deluxe games without limit
I see your drive C:
you a hacked, look!
this is your local drives?not a joke:))
3. На зараженной машине создается http-сервер и при попытке скачать с него что-либо отдается тело вируса в формате hta. Может быть запаковано в zip - зависит от типа запрашиваемого файла.
Запуск вируса
При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32
под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll.
Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.
Действия
Отслеживает трафик на определенных портах и разбирает передаваемые данные в соответствии с протоколами для извлечения паролей (telnet,smtp,pop3,ftp,icq,irc, ...).
Далее эта информация использует для дальнейшего распространения вируса. Например, рассылка сообщений по ICQ от имени пользователя по всему контактному листу или заражение сайтов которые пользователь имел неосторожность обновить через FTP.
Содержит функцию управления программой WebMoney Keeper.
Блокирует доступ к сайтам, имена которых содержат следующие подстроки:
fsi | vcatch | feste | norton |
resplendence | softwin | filseclab | ntivi |
una | panda | free-av | numentec |
adware | trojan | freeav | phx.corporate-ir |
alwil | agnitum | frsirt | secu |
avg | altn | gdata.de | sina |
grisoft | antiy | grisoft | skynet |
bitdef | anvir | iavs | softbase |
clam | asw | iss | sophos |
hbedv | atdmt | kasper | spam |
esafe | atwola | lavasoft | stocona |
aladdin | avast | mcafee | symantec |
quickhea | avp | messagel | trendmicro |
avgate | awaps | microsoft | update |
tds3 | bitdefender | msn | viru |
onecare | ca.com | my-etrust | webroot |
ahnlab | drweb | nai.com | haker |
vnunet | eset | networkass | spy |
virdet | vnunet | nod32 | itsafe |
avinfo | fbi | norman |
Этот же список использует для полного блокирования доступа к сети у приложений по их именам.
Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:
zonealarm | dpf | spfirewallsvc |
zapro | xfilter | sppfw |
ca | leviathantrial | kavpf |
vsmon | looknstop | sspfwtry2 |
zlclient | mpftray | keypatrol |
pavfnsvr | netlimiter | s-wall |
avgcc | npgui | smc |
fsdfwd | npfsvice | umxtray |
dfw | npfmsg | persfw |
fireballdta | npfc | pccpfw |
fbtray | ccapp | tzpfw |
goldtach | ccsetmgr | xeon |
ipcserver | ccevtmgr | bullguard |
aws | ccproxy | bgnewsui |
jammer | symlcsvc | fw |
armorwall | sndsrvc | fwsrv |
armor2net | opfsvc | |
iamapp | opf | |
iamserv | ipatrol | |
blackd | spfw |
Помещает свои копии в папки, в именах которых есть строки: "download", "upload", "incom", "share" заполняет .zip архивами с именами:
ICQ_2006
winamp_5.2
3dsmax_9_(3D_Studio_Max)
ACDSee_9
Adobe_Photoshop_10_(CS3)
Adobe_Premiere_9_(2.0_pro)
Ahead_Nero_8
DivX_7.0
Internet_Explorer_7
Kazaa_4
Microsoft_Office_2006
Longhorn
Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.
Рекомендации по восстановлению системы
1. Загрузить ОС Windows в Безопасном режиме (Safe Mode) ;
2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить .