P2P-Worm.Win32.Darby.m

Вирус-червь, распространяющийся через интернет по сетям файлообмена. Также вирус распространяется по IRC-каналам, открытым сетевым ресурсам и в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

P2P-Worm.Win32.Darby.m («Лаборатория Касперского») также известен как: Worm.P2P.Darby.m («Лаборатория Касперского»), W32/Darby.worm.m (McAfee), W32.HLLW.Darby (Symantec), Win32.IRC.Generic.16 (Doctor Web), W32/Darby-G (Sophos), Win32/HLLW.Darby.N (RAV), WORM_DARBY.G (Trend Micro), Worm/Darby.M (H+BEDV), W32/Darby.K (FRISK), Win32:Darby-F (ALWIL), Worm/Darby.R (Grisoft), Win32.P2P.Barby.A (SOFTWIN), Worm.P2P.Darby.Gen (ClamAV), W32/Darby.F.worm (Panda), Win32/Darby.M (Eset)

Вирус-червь, распространяющийся через интернет по сетям файлообмена. Также вирус распространяется по IRC-каналам, открытым сетевым ресурсам и в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 141 КБ, упакован при помощи UPX. Размер распакованного файла — около 426 KБ.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

Причем употребляется имя файла-червя (может быть другим), чтобы создать ошибочное впечатление у пользователя, что данный файл не может быть запущен на исполнение.

При инсталляции червь копирует себя со следующими именами в системный каталог Windows:

 
 %System%\Image0X.scr
 %System%\KillUsa.exe

Также червь создает несколько своих копий в системном каталоге Windows с произвольными именами. Например:

 
 %System%\ISZQ.scr

Червь создает в системном каталоге Windows утилиту PKZIP с именем bZip.exe (около 42 КБ), с помощью которой в том же каталоге создается архивированная копия червя с именем GZIP.ZIP (около 127 КБ).

Также червь создает следующие HTML-файлы:

 
 %Windir%\microsoftweb.htm
 C:\Bardiel.hta

После чего червь регистрирует себя в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "NETCOMMAND503"="<путь до копии червя>"
 
 [HKLM\Software\Microsoft\WindowsNT\
 CurrentVersion\Run]
  "NETCOMMAND503"="<путь до копии червя>"
 
 [HKCU\Software\Microsoft\Windows NT\
 CurrentVersion\Windows]
  "run"="<путь до копии червя>"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Червь изменяет следующие ключи системного реестра таким образом, чтобы при запуске файлов с расширениями bat, com, exe, pif и scr вместо этих файлов на исполнение запускалась копия червя:

 
 [HKCR\batfile\shell\open\command]
 [HKLM\Software\Classes\batfile\shell\open\command]
  "default"="<путь до копии червя> %1"
 
 [HKCR\comfile\shell\open\command]
 [HKLM\Software\Classes\comfile\shell\open\command]
  "default"="<путь до копии червя> %1"
 
 [HKCR\exefile\shell\open\command]
 [HKLM\Software\Classes\exefile\shell\open\command]
  "default"="<путь до копии червя> %1"
 
 [HKCR\piffile\shell\open\command]
 [HKLM\Software\Classes\piffile\shell\open\command]
  "default"="<путь до копии червя> %1"
 
 [HKCR\scrfile\shell\open\command]
 [HKLM\Software\Classes\scrfile\shell\open\command]
  "default"="<путь до копии червя> %1"

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу «Диспетчера задач» и системного реестра Windows:

 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Policies\System]
 [HKCU\Software\Microsoft\WindowsNT\
 CurrentVersion\Policies\System]
  "DisableRegistryTools"="dword:00000001"
  "DisableTaskMgr"="dword:00000001"

Размножение через P2P

Червь проверяет наличие установленного на машине P2P-клиента (edonkey2000, emule, kazaa, morpheus и других). После чего копирует себя в каталоги общего доступа найденных P2P клиентов и каталоги открытых сетевых ресурсов со следующими именами:

 ACDSee 5.5.exe
 Age of Empires 2 crack.exe
 Ana Kournikova Sex Video.exe
 Animated Screen 7.0b.exe
 aol cracker.exe
 AOL Instant Messenger.exe
 aol password cracker.exe
 AquaNox2 Crack.exe
 Audiograbber 2.05.exe
 AVP Antivirus Pro Key Crack.exe
 BabeFest 2004 ScreenSaver 1.5.exe
 Babylon 3.50b reg_crack.exe
 Battlefield1942_bloodpatch.exe
 Battlefield1942_keygen.exe
 Britney Spears Sex Video.exe
 Buffy Vampire Slayer Movie.exe
 Business Card Designer Plus 7.9.exe
 cable modem ultility pack.exe
 cable modem ultility pack.exe
 Clone CD 5.0.0.3 (crack).exe
 Clone CD 5.0.0.3.exe
 Coffee Cup Free zip 7.0b.exe
 Cool Edit Pro v2.55.exe
 counter-strike.exe
 Crack Passwords Mail.exe
 Credit Card Numbers generator(incl Visa,MasterCard,...).exe
 Cristina Aguilera Sex Video.exe
 delphi.exe
 Diablo 2 Crack.exe
 DirectDVD 5.0.exe
 DirectX Buster (all versions).exe
 DirectX InfoTool.exe
 divx pro.exe
 DivX Video Bundle 6.5.exe
 divx_pro.exe
 Download Accelerator Plus 6.1.exe
 DVD Copy Plus v5.0.exe
 DVD Region-Free 2.3.exe
 Edonkey2000-Speed me up scotty.exe
 FIFA2004 crack.exe
 Final Fantasy VII XP Patch 1.5.exe
 Flash MX crack (trial).exe
 FlashGet 1.5.exe
 FreeRAM XP Pro 1.9.exe
 Game Cube Real Emulator.exe
 GetRight 5.0a.exe
 Global DiVX Player 3.0.exe
 Gothic2 licence.exe
 GTA 3 Crack.exe
 GTA 3 Serial.exe
 Guitar Chords Library 5.5.exe
 Hentai Anime Girls Movie.exe
 Hitman_2_no_cd_crack.exe
 Hot Babes XXX Screen Saver.exe
 HotGirls.exe
 Hotmail Hacker 2004 - Xss Exploit.exe
 Hotmail Hacker 2004-Xss Exploit.exe
 hotmail_hack.exe
 ICQ Pro 2004a.exe
 ICQ Pro 2004b (new beta).exe
 iMesh 3.6.exe
 iMesh 3.7b (beta).exe
 IrfanView 4.5.exe
 Jenifer Lopez Sex Video.exe
 KaZaA Hack 2.5.0.exe
 Kazaa SDK + Xbit speedUp for 2.xx.exe
 KaZaA Speedup 3.6.exe
 Links 2004 Golf game (crack).exe
 Living Waterfalls 1.3.exe
 macromedia dreamweaver key generator.exe
 Mafia_crack.exe
 Matrix Movie.exe
 Matrix Screensaver 1.5.exe
 Mcafee Antivirus Scan Crack.exe
 MediaPlayer Update.exe
 Microsoft KeyGenerator-Allmost all microsoft stuff.exe
 mIRC 6.40.exe
 mp3Trim PRO 2.5.exe
 MSN Messenger 5.2.exe
 NBA2004_crack.exe
 Need 4 Speed crack.exe
 Nero Burning ROM crack.exe
 Netbios Nuker 2004.exe
 Netfast 1.8.exe
 Network Cable e ADSL Speed 2.0.5.exe
 NHL 2004 crack.exe
 Nimo CodecPack (new) 8.0.exe
 Norton Anvirus Key Crack.exe
 PalTalk 5.01b.exe
 pamela_anderson.exe
 Panda Antivirus Titanium Crack.exe
 PerAntivirus 8.9.exe
 play station emulator.exe
 Popup Defender 6.5.exe
 Pop-Up Stopper 3.5.exe
 PS2 PlayStation Simulator.exe
 Quick Time Key Crack.exe
 QuickTime_Pro_Crack.exe
 Sakura Card Captor Movie.exe
 Screen saver christina aguilera naked.exe
 Security-2004-Update.exe
 Serials 2004 v.8.0 Full.exe
 serials2000.exe
 Sex Live Simulator.exe
 Sex Passwords.exe
 SmartFTP 2.0.0.exe
 SmartRipper v2.7.exe
 Space Invaders 1978.exe
 Spiderman Movie.exe
 Splinter_Cell_Crack.exe
 Starcraft serial.exe
 Start Wars Trilogy Movies.exe
 Steinberg_WaveLab_5_crack.exe
 Stripping MP3 dancer+crack.exe
 subseven.exe
 Thalia Sex Video.exe
 The Hacker Antivirus 5.7.exe
 Trillian 0.85 (free).exe
 TweakAll 3.8.exe
 Unreal2_bloodpatch.exe
 Unreal2_crack.exe
 UT2004_bloodpatch.exe
 UT2004_keygen.exe
 UT2004_no cd (crack).exe
 UT2004_patch.exe
 VB6.exe
 virtua girl - adriana.exe
 virtua girl - bailey short skirt.exe
 Virtua Girl (Full).exe
 VirtualSex.exe
 Visual Basic 6.0 Msdn Plugin.exe
 Visual basic 6.exe
 warcraft 3 crack.exe
 warcraft 3 serials.exe
 WarCraft_3_crack.exe
 Winamp 3.8.exe
 winamp plugin pack.exe
 WindowBlinds 4.0.exe
 Windows XP complete + serial.exe
 Windows Xp Exploit.exe
 WinOnCD 4 PE_crack.exe
 WinRar 3.xx Password Cracker.exe
 WinZip 9.0b.exe
 winzip full version key generator.exe
 Winzip KeyGenerator Crack.exe
 WinZipped Visual C++ Tutorial.exe
 XNuker 2004 2.93b.exe
 Yahoo Messenger 6.0.exe
 Zelda Classic 2.00.exe
 

После чего зараженные файлы будут доступны другим пользователям клиентов P2P.

Распространение через email

Червь ищет адреса электронной почты на зараженном компьютере для рассылки себя через email. Найденные адреса сохраняются в следующих файлах:

 
 %Temp%\bh.dat
 %Temp%\bl.dat
 %Temp%\bm.dat

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

 
     * 100% Ideal
     * Amor y Sexo
     * do you Know if they lie you?
     * Fotos en tu email
     * HackHotmail
     * Looks at the picture
     * Mail Delivery Return System
     * Manual de Seduccion
     * Message
     * Mi Album
     * Mira la foto
     * MORE Drawings
     * New Registry
     * No Adware
     * NoMentir
     * Nuevo Registro
     * Pictures in your email
     * Planet PlayBoy
     * Planeta PlayBoy
     * PornStars Show
     * ReturnMsg
     * Sex Tantrico Images
     * Sexo Tantrico Images
     * Ten commandments give the Love and Sex
     * Test Here
     * Virtual Card
     * you Have a Mensage
     * you have a Virtual Gift
     * Your Name

Текст письма:

Выбирается из списка:

* Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem

* due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"

* Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.

* he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)

* Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye

* I ship You the info that you requested me, responds that such this, bye

* Looks at this scrensaver gives the actresses he/she gives the cinema porn

* mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente ......(buena ilusion optica, casialucinacion)

* Osama Ben Laden the man that I declare the War to United States

* Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware.

* The best pictures give PlayBoy gives this year, it passes them ;)

* The corporal language accuses the lie subtly, 5 tips to know if they are telling you e truth.

* The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)

* there is an available card for you on behalf of a friend. discharge it or enters to the link:)

* they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)

* to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys

* you Know that it means the form gives to kiss or that types and techniques exist, know them

* you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.

Имя файла-вложения:

Выбирается из списка:

 
     * 10Claves.zip
     * 16Playboy.zip
     * CrazyTest.zip
     * CwshredderPlus.zip
     * Drawings.zip
     * E-Card.zip
     * EL-Card.zip
     * FuckSanta.zip
     * Gusanito.com
     * HackHotmail.zip
     * Ideal.zip
     * Kiss.zip
     * Lie.zip
     * NoMentir.zip
     * Ph0t0.zip
     * Photo.zip
     * PornStars.zip
     * Registro.zip
     * Registry.zip
     * ReturnMsg.zip
     * Seduc.zip
     * Sex_Tantra.zip
     * SigName.zip
     * TestRayado.zip
     * TuFuturo.zip
     * videoClip.zip
     * Virtual0034.zip
     * xImages.zip

Размножение через IRC-каналы

Чтобы рассылать свои копии другим пользователям IRC, находящимся на том же канале, что и зараженный компьютер, червь перезаписывает следующие файлы:

 
 %ProgramFiles%\mIRC\script.ini
 %ProgramFiles%\mIRC32\script.ini

Через IRC черевь рассылает свою копию.

Действия

Червь завершает активные процессы, содержащие в именах следующие строки:

 
 ate32class
 adaware
 advxdwin
 auto-protect
 alogserv
 anti-trojan
 avsched32
 avconsol
 ackwin32
 autodown
 antivir
 avsynmgr
 avrep32
 atupdater
 atwatch
 autotrace
 aplica32
 atro55en
 aupdate
 autoupdate
 avrescue
 avltmain
 backweb
 blackice
 bd_professional
 bidserver
 bootwarn
 buscareg
 claw95ct
 cfiaudit
 cfiadmin
 cmgrdian
 cleanpc
 cmon016
 cpf9x206
 cpfnt206
 csinject
 csinsm32
 css1631
 cwnb181
 cwntdwmo
 ccevtmgr
 ccpxysvc
 defwatch
 defalert
 drwatson
 drweb32
 drwebupw
 efinet32
 espwatch
 efpeadm
 etrustcipe
 ecengine
 findviru
 f-agnt95
 f-stopw
 filemon
 fameh32
 flowprotector
 fp-win_trial
 generics
 hacktracer
 icssuppnt
 icsupp95
 iomon98
 ifw2000
 iparmor
 kavlite
 lookout
 lockdown
 lucomserver
 ldpromenu
 ldnetmon
 localnet
 mpftray
 moolive
 msconfig
 monitor
 mcmnhdlr
 mcupdate
 mcvsrte
 minilog
 mcvsshld
 mpfservice
 mcshield
 mfweng3
 msinfo32
 mssmmc32
 mu0311ad
 nspclean
 nupgrade
 nwtool16
 normist
 nisserv
 nsched32
 neowatchlog
 nvsvc32
 nwservice
 ntxconfig
 npscheck
 netutils
 notstart
 ncinst4
 netarmor
 netinfo
 netspyhunter
 netstat
 nvarch16
 nvlaunch
 nwinst4
 nvapsvc
 outpost
 offguard
 ostronet
 procexp
 pcfwallicon
 programauditor
 pop3trap
 poproxy
 pcntmon
 pview95
 pqremove
 pfwagent
 prebind
 pcdsetup
 pcip10117_0
 pfwadmin
 portdetective
 ppinupdt
 ppvstop
 procexplorerv1
 proport
 protect
 pccntmon
 qconsole
 qserver
 rtvscn95
 rulaunch
 regedit
 regedt32
 realmon
 stinger
 safeweb
 symproxysvc
 symtray
 ss3edit
 swnetsup
 schedapp
 setupvameeval
 setup_flowprotector_us
 sgssfw32
 shellspyinstall
 srwatch
 supftrl
 supporter5
 sysdoc32
 sysedit
 sharedaccess
 taskmon
 tauscan
 titanin
 tmntsrv
 undoboot
 vshwin32
 vsecomr
 vbcmserv
 vir -help
 vettray
 vcontrol
 vccmserv
 vcsetup
 vfsetup
 vnlan300
 vnpc3000
 vpfw30s
 vscenu6
 vsisetup
 wfindv32
 wimmun32
 webtrap
 watchdog
 wradmin
 w32dsm89
 whoswatchingme
 winrecon
 winroute
 winsfcm
 wsbgate
 zonealarm
 zatutor
 zonestub
 zlclient
 zauinst
 zonalm2601
 taskmgr

Также червь имеет функцию загрузки из интернета файлов без ведома пользователя. Файлы могут загружаться со следующих серверов:

 
 http://hosting.m***at.com/interserv7
 http://interserv1.thefr***izhost.com
 http://interserv10.i***tworx.de
 http://interserv6.m***tespace.com
 http://interserv9.t**.com