I-Worm.Bofra.a

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows.

Например:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe

Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Rhino" = "%System%\<любой набор символов>32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adbh
aspd
dbxn
htmb
phpq
pl

shtl
tbbg
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя одну из следующих строк:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:

aol.com
hotmail.com
msn.com
yahoo.com

Тема письма:

Выбирается из списка:

funny photos :)
hello
hey!

Текст письма:

Выбирается из следующих вариантов:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

Файл-вложение:

В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:

http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>

Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.

Подпись к письму:

Выбирается из списка:

Checked by Dr.Web (http://www.drweb.net)
Checked for viruses by Gordano's AntiVirus Software
scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.