Почтовый червь, распространяется через службы файлового обмена, ссылки на которые отсылаются в сообщениях электронной почты с темой «Re: С проекта Ответы@Mail.Ru». Представляет собой RAR-архив, содержащий исполняемый файл setup.exe и документ readme.doc. В последнем в зашифрованном виде хранится вредоносная программа.
Файл расшифровывается и сохраняется в %Program%\WinRar\fmt.dll. DLL расшифровывает из своего тела исполняемый файл и запускает его. Создаёт свою копию в %Program%\WinRar\MDM.exe и устанавливает в реестре следующие параметры:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MDM.exe=%Program%\WinRar\MDM.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0, EnableSecureUIAPaths=0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA ValueType=0 SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0, EnableSecureUIAPaths=0 SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA ValueType=0 S-1-5-21-16274667-177076454-568880354-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA=0создаёт мютекс bd0dd71ed66691fa2a25ebaea3738013 сигнализирующий о конце установки, и запускает mdm.exe.
Полезная нагрузка
Mdm.exe получает информацию о стране на 2ip.ru и определяет OS и значение серийного номера жёсткого диска. Загружает программу alqon.exe, получает конфигурационный файл с параметрами почтового сообщения и соединения с SMTP-сервером. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.
