Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.
Вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с именем m0use.exe:
%System%\m0use.exe
Затем червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Userinterface Report3r"="M0USE.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующую запись в системном реестре:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"="Explorer.exe M0USE.exe"
Также червь изменяет следующие записи системного реестра с целью блокировки сервиса Shared Access:
[HKLM\System\CurrentControlSet\Services\SharedAccess] [HKLM\System\ControlSet001\Services\SharedAccess] "Start"="4"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp cgi dbx htm html jsp php pl sht tbb wab xml
При этом червем игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix usenet utgers.ed webmaster www you your
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя один из следующих вариантов:
* adam * alex * andrew * anna * bill * bob * bob * brenda * brent * brian * claudia * dan * dave * david * debby * frank * fred * george * helen * jack * james * jane * jerry * jim * jimmy * joe * john * jose * josh * julie * kevin * leo * linda * maria * mary * matt * michael * mike * paul * peter * ray * robert * sales * sam * sandra * serg * smith * stan * steve * ted * tom
Тема письма:
Выбирается из списка:
* <набор случайных символов> * *DETECTED* Online User Violation * Email Account Suspension * Important Notification * Members Support * Notice of account limitation * Security measures * Warning Message: Your services near to be closed. * You have successfully updated your password * Your Account is Suspended * Your Account is Suspended For Security Reasons * Your new account password is approved * Your password has been successfully updated * Your password has been updated
Текст письма:
Зараженные письма не имеют текста письма.
Имя файла-вложения:
Выбирается из списка:
* <набор случайных символов> * accepted-password * account-details * account-info * account-password * account-report * approved-password * document * email-details * email-password * important-details * new-password * password * readme * updated-password
Вложения могут иметь одно из расширений:
* bat * cmd * exe * pif * scr
Также во вложении может быть zip-файл, содержащий копию червя с двойным расширением. При этом первым может быть одно из следующих расширений:
* doc * htm * txt
А вторым может быть одно из расширений:
* exe * pif * scr
Удаленное администрирование
Червь открывает на зараженной машине случайный TCP-порт для соединения с IRC-сервером name.turkintikamtugayi.com для приема команд. Это позволяет злоумышленнику через IRC-канал иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Прочее
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com