I-Worm.Bofra.a

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows.

Например:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe

Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Rhino" = "%System%\<любой набор символов>32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adbh
 aspd
 dbxn
 htmb
 phpq
 pl
 
 shtl
 tbbg
 txt
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
 .gov
 .mil
 abuse
 accoun
 acketst
 admin
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 gov.
 help
 hotmail
iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 listserv
 math
 me
 mit.e
 mozilla
 msn.
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 you
 your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя одну из следующих строк:

adam
 alex
 alice
 andrew
 anna
 bill
 bob
 brenda
 brent
 brian
 claudia
 dan
 dave
 david
 debby
 fred
george
 helen
 jack
 james
 jane
 jerry
 jim
 jimmy
 joe
 john
 jose
 julie
 kevin
 leo
 linda
 maria
mary
 matt
 michael
 mike
 peter
 ray
 robert
 sam
 sandra
 serg
 smith
 stan
 steve
 ted
 tom

Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:

aol.com
 hotmail.com
 msn.com
 yahoo.com

Тема письма:

Выбирается из списка:

funny photos :)
 hello
 hey!

Текст письма:

Выбирается из следующих вариантов:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

Файл-вложение:

В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:

http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>

Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.

Подпись к письму:

Выбирается из списка:

Checked by Dr.Web (http://www.drweb.net)
 Checked for viruses by Gordano's AntiVirus Software
 scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.