Net-Worm.Win32.Maslan.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимости в службах LSASS ( MS04-011 ) и RPC DCOM ( MS03-039 ).

Червь является приложением Windows (PE EXE-файл), имеет размер около 49КБ, упакован FSG. Размер распакованного файла около 81КБ.

Червь содержит в себе бэкдор, принимающий команды по каналам IRC.

Инсталляция

После запуска червь может создавать в системном каталоге Windows следующие файлы:

%System%\___AlaDdos
 %System%\___AlaFtp
 %System%\___AlaMail
 %System%\___AlaScan
 %System%\___e
 %System%\___j.dll
 %System%\___m
 %System%\___m
 %System%\___n.EXE
 %System%\___Prior
 %System%\___r.exe
 %System%\___t

Net-Worm.Win32.Maslan.a регистрирует себя в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Windows DHCP"="%System%\___r.exe"
  "Microsoft Synchronization Manager"="___synmgr.exe"

Червь создает уникальный идентификатор " ALAxALA" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Microsoft Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
 asp
 cfg
 cgi
 dbx
 dhtm
 eml
 htm
 jsp
 mbx
 mdx
 mht
 mmf
 msg
 nch
ods
 oft
 php
 pl
 sht
 shtm
 stm
 tbb
 txt
 uin
 wab
 wsh
 xls
 xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse 
 acketst
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bugs
 ca
 contact
 example
 feste
 fido
 foo.
 fsf.
 gnu
 gold-certs
 google
 help
 iana
 ibm.com
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 math
 me
 mit.e
 mozilla
 mydomai
 mysql
 no
 nobody
nodomai
 noone
 not
 nothing
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 spam
 spm
 submit
 syma
 tanford.e
 test
 the.bat
 unix
 usenet
 utgers.ed
 webmaster
 www
 you
 your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из следующих списков:

Имя:

accoun
 admin
 Alan
 Andrew
 Angel
 Anna
 Arnold
 Bernard
 Carter
 certific
 Chris
 Christian
 Conor
 Ghisler
 Goldberg
 Green
 Helen
 Ivan
 Jackson
John
 Kramer
 Kutcher
 listserv
 Liza
 Lopez
 Mackye
 Maria
 Miller
 Nelson
 ntivi
 Peter
 Robert
 Ruben
 Sarah
 Scott
 Smith
 Steven
 subscribe

Домен отправителя:

aol.com
 freemail.com
 hotmail.com
 mail.com
 msn.com
 yahoo.com

Тема письма:

123

Текст письма:

Hello <случайное имя>,
 --Best regards,

Имя файла-вложения:

Playgirls2.exe

Действие

Червь сканирует жесткий диск, чтобы найти exe-файлы, путь до которых содержит следующие строки:

distr
 downlo
 setup
 share
 upload

Червь записывает себя вместо оригинальных файлов, копируя их в создаваемую в корне диска С: директорию "___b", попадая, таким образом, в папки файлообменных сетей.

Также червь пытается выгрузить из системы различные межсетевые экраны и антивирусные программы.

Червь реализует DoS-атаку на следующие сайты:

chechenpress.com
 chechenpress.info
 kavkaz.org.uk
 kavkaz.tv
 kavkaz.uk.com
 kavkazcenter.com
 kavkazcenter.info
 kavkazcenter.net

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP-порт для соединения с IRC-каналами для приема команд.

Прочее

Net-Worm.Win32.Maslan.a содержит следующие строки:

Hah: Mydoom, Bagle, etc: since then you do not have future more!
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.