Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Generic.355

(Email-Worm.Win32.Sober.y, WORM_SOBER.DAM, Win32.Sober.Y@mm, W32/Sober@MM!M681, TR/Crypt.ZPACK.Gen, Parser error, Cryp_MEW-11, I-Worm/Sober.CF, Generic.dx, Win32.Sober.Gen, W32.Sober.X@mm!zip, Win32.Sober.AH@mm, Win32.Sober.AD@mm, Win32/Sober.U@mm, TR/Crypt.ULPM.Gen, Dropper.Generic_c.DH, I-Worm/Sober.Q, W32/Sober.p@MM!zip, Win32/Sober.S@mm, Email-Worm.Win32.Sober.q, W32/Sober.dam, Worm:Win32/Sober.Z@mm!CME681, W32/Sober.gen@MM)

Добавлен в вирусную базу Dr.Web: 2005-06-23

Описание добавлено:

Win32.HLLM.Generic.355

Описание

Win32.HLLM. Generic.355 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован компрессионной утилитой UPX.

Обращаем внимание, что данной вирусной записью может быть детектировано несколько разновидностей данного вредоносного кода. Здесь представлено описание одного из них.

Тело червя прикреплено к зараженному письму в виде вложения — ZIP-файл размером 56 KБ. Внутри архива содержится исполняемый файл с расширением .exe .

Червь представляет собой PE EXE-файл, размером 55390 байт.

Червь написан на языке Visual Basic.

Запуск вируса

Сразу после своего запуска червь выдаёт окно:

С целью проверки выхода в Internet червь проверяет доступность некоторых NTP-серверов из данного списка:

clock.psu.edu
cuckoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp1.theremailer.net
ntp-2.ece.cmu.edu
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ntp-sop.inria.fr
ptbtime2.ptb.de
rolex.peachnet.edu
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl

В инсталляционной директории Windows червь создаёт директорию WinSecurity и копирует свое тело в:

%Windir%\WinSecurity\services.exe

%Windir%\WinSecurity\smss.exe

%Windir%\WinSecurity\csrss.exe

С целью обеспечения автозапуска своей копии в системе червь вносит следующие значения в ключи реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows” = C:\WINDOWS\WinSecurity\services.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Windows” = C:\WINDOWS\WinSecurity\services.exe %1

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

_Windows” = C:\WINDOWS\WinSecurity\services.exe

Распространение

Адреса для почтовой рассылки червь извлекает из файлов со следующими расширениями:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам, а для разрешения имён доменов, на которые червь пытается отослать зараженные письма, используются публичные DNS-сервера из списка ниже:

130.149.2.12
131.215.254.100
131.243.64.3
134.94.80.2
147.28.0.39
151.201.0.39
158.43.128.1
192.168.0.1
193.158.124.143
193.174.26.133
194.206.126.200
194.231.195.79
194.25.2.129
194.87.0.9
195.185.185.195
198.6.1.2
198.87.87.38
203.178.136.36
204.117.214.10
204.127.160.3
204.60.0.3
205.166.226.38
207.217.120.43
207.69.188.186
209.253.113.2
209.68.2.46
209.68.63.250
212.242.88.2
213.218.170.6
213.239.234.108
217.237.150.225
217.237.151.161
219.127.89.34
24.93.40.33
4.2.2.3
62.156.146.242
65.98.70.107
67.18.208.130
69.20.54.201
69.93.9.167
70.84.250.212
70.85.116.133
70.85.209.148

Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:

Тема письма может быть одной из следующего списка:

Account Information

Ermittlungsverfahren wurde eingeleitet

hi,ive a new mail address

Ihr Passwort

Mail delivery failed

Mailzustellung wurde unterbrochen

Paris Hilton & Nicole Richie

Registration Confirmation

RTL: Wer wird Millionaer

Sehr geehrter Ebay-Kunde

Sie besitzen Raubkopien

smtp mail failed

SMTP Mail gescheitert

You visit illegal websites

Your IP was logged

Your Password

Текст сообщения может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит одну из следующих подстрок:

.at
.ch
.de
gmx.
.li

При этом имя отправителя зараженных писем может включать в себя следующие строки:

@BKA
@cia
@fbi
@RTL

А сам текст может быть одним из следующих вариантов:

  • Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:

Please answer our questions!

The list of questions are attached.

Yours faithfully,

Steven Allison

++++ Central Intelligence Agency -CIA-

++++ Office of Public Affairs

++++ Washington, D.C. 20505

++++ phone: (703) 482-0623

++++ 7:00 a.m. to 5:00 p.m., US Eastern time

  • This is an automatically generated Delivery Status Notification.

SMTP_Error []

I'm afraid I wasn't able to deliver your message.

This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!

  • hey its me, my old address dont work at time. i dont know why?!

in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...

cyaaaaaaa

  • The Simple Life:

View Paris Hilton & Nicole Richie video clips , pictures & more ;)

Download is free until Jan, 2006!

Please use our Download manager.

  • Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.

*** http://www.[имя домена получателя]

*** E-Mail: PassAdmin@[имя домена получателя]

  • Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.

Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic

Aktenzeichen NR.:# (siehe Anhang)

Hochachtungsvoll

i.A. Juergen Stock

--- Bundeskriminalamt BKA

--- Referat LS 2

--- 65173 Wiesbaden

--- Tel.: +49 (0)611 - 55 - 12331 oder

--- Tel.: +49 (0)611 - 55 – 0

  • Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.

Sie sitzen demnaechst bei Guenther Jauch im Studio!

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

+++ RTL interactive GmbH

+++ Geschaeftsfuehrung: Dr. Constantin Lange

+++ Am Coloneum 1

+++ 50829 Koeln

+++ Fon: +49(0) 221-780 0 oder

+++ Fon: +49 (0) 180 5 44 66 99

  • Account and Password Information are attached!

***** Go to: http://www.[имя домена получателя]

***** Email: postman@[имя домена получателя]

  • Protected message is attached!

***** Go to: http://www.[имя домена получателя]

***** Email: postman@[имя домена получателя]

Наименование вложения: представляет собой ZIP-архив, внутри которого содержится исполняемый файл с расширением .EXE . Наименования файла вложения может быть следующим:

adc-soft-TextInfo.zip
AkteXXXX.zip, где XXXX – четыре случайных цифры
Casting.zip
Ebay.zip
Ebay-User3528_RegC.zip
Email.zip
Email_text.zip
Gewinn.zip
Kandidat.zip
mail.zip
mail_body.zip
mailtext.zip
mail-TextInfo.zip
msdirectservices-TextInfo.zip
netlock-TextInfo.zip
qast-TextInfo.zip
question_list.zip
question_list646.zip
reg_pass.zip
reg_pass-data.zip
sysinternals-TextInfo.zip

Действия

1) В директории %Windir%\WinSecurity червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:

%Windir%\WinSecurity\mssock1.dli

%Windir%\WinSecurity\mssock2.dli

%Windir%\WinSecurity\mssock3.dli

%Windir%\WinSecurity\winmem1.ory

%Windir%\WinSecurity\winmem2.ory

%Windir%\WinSecurity\winmem3.ory

2) А также следующие фалы, в которых хранит свои копии в кодировке base64:

%Windir%\WinSecurity\socket1.ifo

%Windir%\WinSecurity\socket2.ifo

%Windir%\WinSecurity\socket3.ifo

3) Червь создает файлы с нулевой длиной в системном каталоге Windows под следующими именами:

%System%\bbvmwxxf.hml

%System%\filesms.fms

%System%\langeinf.lin

%System%\nonrunso.ber

%System%\rubezahl.rub

%System%\runstop.rst

А также следующие файлы в директории %Windir%\WinSecurity :

%Windir%\WinSecurity\starter.run

%Windir%\WinSecurity\sysonce.tst

4) пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
Microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger

а также процесс MRT.exe соответствующий утилите Microsoft® Windows® Malicious Software Removal Tool.

При попытке запуска программ в названии которых присутствуют вышеприведенные строки, червь блокирует их запуск и выдает на экран следующие сообщение:

Рекомендации по восстановлению системы

В случае заражения системы рекомендуется произвести следующие действия:

  1. Отключить Восстановление системы (в случае MS Windows XP: Мой Компьютер -> Свойства -> вкладка Восстановление системы; в случае MS Windows ME: Пуск -> Настройка -> Панель Управления -> Система -> Производительность -> Файловая Система -> кнопочка Устранение проблем -> включить галочку Отмена восстановления системы -> Применить);

  2. Загрузить ОС Windows в Безопасном режиме (Safe Mode);

  3. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Действие для файлов из пункта «Запуск вируса» и пп. 1) и 2) - удалить;

  4. Удалить директорию %Windir%\WinSecurity (по-умочанию, C:\WINDOWS\ WinSecurity);

  5. Удалить записи в реестре Windows соответствующие данному вирусному коду (см. раздел «Запуск вируса» и п.3). Для этого рекомендуется воспользоваться стандартной утилитой Windows msconfig.exe, либо аналогичными утилитами сторонних разработчиков.

  6. Перезагрузить в систему в Нормальном режиме и включить Восстановление системы (см. п. А).