Net-Worm.Win32.Maslan.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимости в службах LSASS (MS04-011) и RPC DCOM (MS03-039).

Червь является приложением Windows (PE EXE-файл), имеет размер около 49КБ, упакован FSG. Размер распакованного файла около 81КБ.

Червь содержит в себе бэкдор, принимающий команды по каналам IRC.

Инсталляция

После запуска червь может создавать в системном каталоге Windows следующие файлы:

%System%\___AlaDdos
%System%\___AlaFtp
%System%\___AlaMail
%System%\___AlaScan
%System%\___e
%System%\___j.dll
%System%\___m
%System%\___m
%System%\___n.EXE
%System%\___Prior
%System%\___r.exe
%System%\___t

Net-Worm.Win32.Maslan.a регистрирует себя в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Microsoft Windows DHCP"="%System%\___r.exe"
 "Microsoft Synchronization Manager"="___synmgr.exe"

Червь создает уникальный идентификатор " ALAxALA" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Microsoft Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse 
acketst
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
help
iana
ibm.com
ietf
info
inpris
isc.o
isi.e
kernel
linux
math
me
mit.e
mozilla
mydomai
mysql
no
nobody
nodomai
noone
not
nothing
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
syma
tanford.e
test
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из следующих списков:

Имя:

accoun
admin
Alan
Andrew
Angel
Anna
Arnold
Bernard
Carter
certific
Chris
Christian
Conor
Ghisler
Goldberg
Green
Helen
Ivan
Jackson
John
Kramer
Kutcher
listserv
Liza
Lopez
Mackye
Maria
Miller
Nelson
ntivi
Peter
Robert
Ruben
Sarah
Scott
Smith
Steven
subscribe

Домен отправителя:

aol.com
freemail.com
hotmail.com
mail.com
msn.com
yahoo.com

Тема письма:

123

Текст письма:

Hello <случайное имя>,
--Best regards,

Имя файла-вложения:

Playgirls2.exe

Действие

Червь сканирует жесткий диск, чтобы найти exe-файлы, путь до которых содержит следующие строки:

distr
downlo
setup
share
upload

Червь записывает себя вместо оригинальных файлов, копируя их в создаваемую в корне диска С: директорию "___b", попадая, таким образом, в папки файлообменных сетей.

Также червь пытается выгрузить из системы различные межсетевые экраны и антивирусные программы.

Червь реализует DoS-атаку на следующие сайты:

chechenpress.com
chechenpress.info
kavkaz.org.uk
kavkaz.tv
kavkaz.uk.com
kavkazcenter.com
kavkazcenter.info
kavkazcenter.net

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP-порт для соединения с IRC-каналами для приема команд.

Прочее

Net-Worm.Win32.Maslan.a содержит следующие строки:

Hah: Mydoom, Bagle, etc: since then you do not have future more!