Email-Worm.Win32. Agent.li

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Имеет размер 458752 байта. Написан на С++.

Содержание зараженных писем.

Адрес отправителя

e-cards@hallmark.com

Заголовок

You have received A Hallmark E-Card!

Текст

You have received a Hallmark E-Card from your friend. To see it, check the attachment. There's something special about that E-Card feeling. We invite you to make a friend's day and send one. Hope to see you soon, Your friends at Hallmark

Адрес отправителя

invitations@twitter.com

Заголовок

Your friend invited you to twitter!

Текст

Twitter is a service for friends, family, and co-workers to
communicate and stay connected through the exchange of quick, frequent
answers to one simple question:
To join or to see who invited you, check the attachment.

Адрес отправителя

invitations@hi5.com

Заголовок

Jessica would like to be your friend on hi5!

Текст

Jessica would like to be your friend on hi5!
I set up a hi5 profile and I want to add you as a friend so we can share pictures
and start building our network. First see your invitation card I attached!
Once you join, you will have a chance to create a profile, share pictures,
and find friends.

Адрес отправителя

order-update@amazon.com

Заголовок

Shipping update for your Amazon.com order 254-78546325-658742

Текст

Please check the attachment and confirm your shipping details.
Please also check the special coupon we have attached, it
gives you 40% discount from all the products.

Инсталляция

После запуска червь выполняет следующие действия:

  • Копирует себя по пути
    %System%\NVSVC16.EXE
  • Создает файл
    %System%\NV-UPDATE1.EXE
    (239104 байта; детектируется Антивирусом Касперского как "Email-Worm.Win32.Agent.li")
  • Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующие ключи системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Java updater" = "%System%\nv-update1.exe"
    "Windows Management" = "%System%\nvsvc16.exe"
    [HKLM\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explorer\Run]
    "Java updater" = "%System%\nv-update1.exe"
  • Определяет IP- адрес пользователя, загружая файл:
    http://whatismyip.com/automation/n09230945.asp
  • Отключает контроль учетных записей в Windows:
    [HKLM\Software\Microsoft\Security Center]
    "UACDisableNotify" = 1
  • Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\
    AuthorizedApplications\List]
    "%System%\NVSVC16.EXE" = "%System%\NVSVC16.EXE
    :*: Enabled:Explorer"
  • Отключает восстановление системы:
    [HKLM\Software\Microsoft\Windows
    NT\CurrentVersion\SystemRestore]
    "DisableSR" = 1

Ищет среди процессов запущенные службы антивирусов и закрывает их.

Распространение

Червь ищет на диске файлы с расширениями wab, txt, htm, htmb, asp, php, pl, sht, dbx, adb, tbb и рассылает себя по всем найденным в них адресах электронной почты.

Для отправки почты червь использует собственный SMTP-сервер.

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски по пути:

< имя зараженного раздела >:\RECYCLER\%CLISD%\REDMOND.EXE_
Вместе со своим исполняемым файлом червь помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Для внедрения в P2P-сеть червь копирует свое тело в каталоги обмена файлами, которые расположен на локальной машине. Всю остальную работу по распространению червя P2P-клиенты берут на себя - при поиске файлов в сети он сообщает удаленным пользователям о данном файле и предоставляет весь необходимый сервис для скачивания файла с зараженного компьютера. Копирует себя в папки:

%Program Files%\EMULE\INCOMING
%Program Files%\GROKSTER\MY GROKSTER
%Program Files%\MORPHEUS\MY SHARED FOLDER
%Program Files%\WINMX\SHARED
%Program Files%\LIMEWARE\SHARED
%Program Files%\TESLA\FILES
%Program Files%\ICQ\SHARED FILES
C:\Downloads\
под различными именами (в каждой папке более 50 копий с разными именами)

Деструктивная активность

Программа соединяется с сервером:

cisco.webhop.net
и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

  • Перехват нажатых пользователем клавиш.
  • Поиск пользовательской информации, относящейся к следующим программам:
    Mozilla Firefox
    Trillian
    Miranda
    Pidgin
    Gaim
    Internet Explorer
  • Скачивать и запускать вредоносные программы
  • Собирать информацию о системе и сетевых соединениях.
  • Собирать скриншоты и изображение с веб-камеры. Вся собранная информация записывается в файл
    "%windir%\oraclent.dll"