Описание
Win32.HLLM. Generic.355 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован компрессионной утилитой UPX.
Обращаем внимание, что данной вирусной записью может быть детектировано несколько разновидностей данного вредоносного кода. Здесь представлено описание одного из них.
Тело червя прикреплено к зараженному письму в виде вложения — ZIP-файл размером 56 KБ. Внутри архива содержится исполняемый файл с расширением .exe .
Червь представляет собой PE EXE-файл, размером 55390 байт.
Червь написан на языке Visual Basic.
Запуск вируса
Сразу после своего запуска червь выдаёт окно:
С целью проверки выхода в Internet червь проверяет доступность некоторых NTP-серверов из данного списка:
clock.psu.edu
cuckoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp1.theremailer.net
ntp-2.ece.cmu.edu
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ntp-sop.inria.fr
ptbtime2.ptb.de
rolex.peachnet.edu
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl
В инсталляционной директории Windows червь создаёт директорию WinSecurity и копирует свое тело в:
%Windir%\WinSecurity\services.exe %Windir%\WinSecurity\smss.exe %Windir%\WinSecurity\csrss.exe С
целью обеспечения автозапуска своей копии в системе червь вносит
следующие значения в ключи реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“
Windows”
= C:\WINDOWS\WinSecurity\services.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce “
Windows”
= C:\WINDOWS\WinSecurity\services.exe %1 HKCU\Software\Microsoft\Windows\CurrentVersion\Run “_Windows”
= C:\WINDOWS\WinSecurity\services.exe Распространение Адреса
для почтовой рассылки червь извлекает из файлов со следующими
расширениями:
abc При
рассылке зараженных писем червь пытается осуществить прямое
подключение к SMTP-серверам, а для
разрешения имён доменов, на которые червь пытается отослать
зараженные письма, используются публичные DNS-сервера
из списка ниже: 130.149.2.12
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
131.215.254.100
131.243.64.3
134.94.80.2
147.28.0.39
151.201.0.39
158.43.128.1
192.168.0.1
193.158.124.143
193.174.26.133
194.206.126.200
194.231.195.79
194.25.2.129
194.87.0.9
195.185.185.195
198.6.1.2
198.87.87.38
203.178.136.36
204.117.214.10
204.127.160.3
204.60.0.3
205.166.226.38
207.217.120.43
207.69.188.186
209.253.113.2
209.68.2.46
209.68.63.250
212.242.88.2
213.218.170.6
213.239.234.108
217.237.150.225
217.237.151.161
219.127.89.34
24.93.40.33
4.2.2.3
62.156.146.242
65.98.70.107
67.18.208.130
69.20.54.201
69.93.9.167
70.84.250.212
70.85.116.133
70.85.209.148
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:
Тема письма может быть одной из следующего списка:
Account Information
Ermittlungsverfahren wurde eingeleitet
hi,ive a new mail address
Ihr Passwort
Mail delivery failed
Mailzustellung wurde unterbrochen
Paris Hilton & Nicole Richie
Registration Confirmation
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Sie besitzen Raubkopien
smtp mail failed
SMTP Mail gescheitert
You visit illegal websites
Your IP was logged
Your Password
Текст сообщения может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит одну из следующих подстрок:
.at
.ch
.de
gmx.
.li
При этом имя отправителя зараженных писем может включать в себя следующие строки:
@BKA
@cia
@fbi
@RTL
А сам текст может быть одним из следующих вариантов:
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** http://www.[имя домена получателя]
*** E-Mail: PassAdmin@[имя домена получателя]
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic
Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 – 0
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Account and Password Information are attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
Protected message is attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
Наименование вложения: представляет собой ZIP-архив, внутри которого содержится исполняемый файл с расширением .EXE . Наименования файла вложения может быть следующим:
adc-soft-TextInfo.zip
AkteXXXX.zip, где XXXX – четыре случайных цифры
Casting.zip
Ebay.zip
Ebay-User3528_RegC.zip
Email.zip
Email_text.zip
Gewinn.zip
Kandidat.zip
mail.zip
mail_body.zip
mailtext.zip
mail-TextInfo.zip
msdirectservices-TextInfo.zip
netlock-TextInfo.zip
qast-TextInfo.zip
question_list.zip
question_list646.zip
reg_pass.zip
reg_pass-data.zip
sysinternals-TextInfo.zip
Действия
1) В директории %Windir%\WinSecurity червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
2) А также следующие фалы, в которых хранит свои копии в кодировке base64:
%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo
3) Червь создает файлы с нулевой длиной в системном каталоге Windows под следующими именами:
%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
А также следующие файлы в директории %Windir%\WinSecurity :
%Windir%\WinSecurity\starter.run
%Windir%\WinSecurity\sysonce.tst
4) пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
Microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger
а также процесс MRT.exe соответствующий утилите Microsoft® Windows® Malicious Software Removal Tool.
При попытке запуска программ в названии которых присутствуют вышеприведенные строки, червь блокирует их запуск и выдает на экран следующие сообщение:
Рекомендации по восстановлению системы
В случае заражения системы рекомендуется произвести следующие действия:
Отключить Восстановление системы (в случае MS Windows XP: Мой Компьютер -> Свойства -> вкладка Восстановление системы; в случае MS Windows ME: Пуск -> Настройка -> Панель Управления -> Система -> Производительность -> Файловая Система -> кнопочка Устранение проблем -> включить галочку Отмена восстановления системы -> Применить);
Загрузить ОС Windows в Безопасном режиме (Safe Mode);
Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Действие для файлов из пункта «Запуск вируса» и пп. 1) и 2) - удалить;
Удалить директорию %Windir%\WinSecurity (по-умочанию, C:\WINDOWS\ WinSecurity);
Удалить записи в реестре Windows соответствующие данному вирусному коду (см. раздел «Запуск вируса» и п.3). Для этого рекомендуется воспользоваться стандартной утилитой Windows msconfig.exe, либо аналогичными утилитами сторонних разработчиков.
Перезагрузить в систему в Нормальном режиме и включить Восстановление системы (см. п. А).