Net-Worm.Win32.Maslan.a
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимости в службах LSASS ( MS04-011 ) и RPC DCOM ( MS03-039 ).
Червь является приложением Windows (PE EXE-файл), имеет размер около 49КБ, упакован FSG. Размер распакованного файла около 81КБ.
Червь содержит в себе бэкдор, принимающий команды по каналам IRC.
Инсталляция
После запуска червь может создавать в системном каталоге Windows следующие файлы:
%System%\___AlaDdos %System%\___AlaFtp %System%\___AlaMail %System%\___AlaScan %System%\___e %System%\___j.dll %System%\___m %System%\___m %System%\___n.EXE %System%\___Prior %System%\___r.exe %System%\___t
Net-Worm.Win32.Maslan.a регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Windows DHCP"="%System%\___r.exe" "Microsoft Synchronization Manager"="___synmgr.exe"
Червь создает уникальный идентификатор " ALAxALA" для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу Microsoft Outlook, а также ищет адреса в файлах со следующими расширениями:
adb asp cfg cgi dbx dhtm eml htm jsp mbx mdx mht mmf msg nch |
ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml |
При этом червем игнорируются адреса, содержащие следующие подстроки:
abuse acketst anyone arin. avp berkeley borlan bsd bugs ca contact example feste fido foo. fsf. gnu gold-certs google help iana ibm.com ietf info inpris isc.o isi.e kernel linux math me mit.e mozilla mydomai mysql no nobody |
nodomai noone not nothing page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spam spm submit syma tanford.e test the.bat unix usenet utgers.ed webmaster www you your |
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Комбинируется по частям из следующих списков:
Имя:
accoun admin Alan Andrew Angel Anna Arnold Bernard Carter certific Chris Christian Conor Ghisler Goldberg Green Helen Ivan Jackson |
John Kramer Kutcher listserv Liza Lopez Mackye Maria Miller Nelson ntivi Peter Robert Ruben Sarah Scott Smith Steven subscribe |
Домен отправителя:
aol.com freemail.com hotmail.com mail.com msn.com yahoo.com
Тема письма:
123
Текст письма:
Hello <случайное имя>, --Best regards,
Имя файла-вложения:
Playgirls2.exe
Действие
Червь сканирует жесткий диск, чтобы найти exe-файлы, путь до которых содержит следующие строки:
distr downlo setup share upload
Червь записывает себя вместо оригинальных файлов, копируя их в создаваемую в корне диска С: директорию "___b", попадая, таким образом, в папки файлообменных сетей.
Также червь пытается выгрузить из системы различные межсетевые экраны и антивирусные программы.
Червь реализует DoS-атаку на следующие сайты:
chechenpress.com chechenpress.info kavkaz.org.uk kavkaz.tv kavkaz.uk.com kavkazcenter.com kavkazcenter.info kavkazcenter.net
Удаленное администрирование
Червь открывает на зараженной машине произвольный TCP-порт для соединения с IRC-каналами для приема команд.
Прочее
Net-Worm.Win32.Maslan.a содержит следующие строки:
Hah: Mydoom, Bagle, etc: since then you do not have future more!
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!