Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Также червь имеет функцию загрузки из интернета других файлов без ведома пользователя.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 95369 байт.
Инсталляция
После запуска червь выдает сообщение об ошибке с текстом «Error» c целью ввести в заблуждение пользователя зараженного компьютера.
При инсталляции червь копирует себя с именем hidn2.exe в следующий каталог:
%UserProfile%\Application Data\hidn\hidn2.exe
В том же каталоге червь создает файл с именем m_hook.sys.
Также червь создает следующие записи в системном реестре:
[HKCU\Software\FirstRuxzx]
"FirstRun"="dword:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key"="%UserProfile%\Application Data\hidn\hidn2.exe"
Червь удаляет следующий ключ реестра для того, чтобы обеспечить невозможность загрузки системы в «безопасном режиме»:
[HKLM\System\CurrentControlSet\Control\SafeBoot]
Также червь создает следующие файлы:
%SystemDrive%\error.gif
%SystemDrive%\temp.zip
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml
Также данный вариант червя имеет возможность загрузить из интернета файлы, содержащие адреса электронной почты будущих жертв. Червь содержит весьма объемный список интернет-страниц, с которых можно скачать данные файлы:
http://acce***le.cl/1/eml.php
http://am***dy.com/1/eml.php
http://avatare***atis.com/1/eml.php
http://be***lu.com.tr/1/eml.php
http://brand***ck.com/1/eml.php
http://c-***.com.au/1/eml.php
http://cam***mafra.sc.gov.br/1/eml.php
http://campos***ipamentos.com.br/1/eml.php
http://cbr***o.sos.pl/1/eml.php
http://coparefre***s.stantonstreetgroup.com/1/eml.php
http://creai***ire.com/1/eml.php
http://dese***i.com.br/1/eml.php
http://hotel***lba.com/1/eml.php
http://inca.d***solution.net/1/eml.php
http://veranm***ala.com/1/eml.php
http://wkligh***azwa.pl/1/eml.php
http://www.***npl.com/1/eml.php
http://www.aura***.com/1/eml.php
http://www.buy***ital.co.kr/1/eml.php
http://www.d***.cl/1/eml.php
http://www.disco***apuzzle.com/1/eml.php
http://www.in***file.gr/1/eml.php
http://www.tita***tors.com/images/1/eml.php
http://yon***n24.co.kr/1/eml.php
Червь рассылает зараженные письма по всем содержащимся в скачанном файле адресам электронной почты.
При этом червем игнорируются адреса, содержащие следующие подстроки:
@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Alice * Alyce * Andrew * Androw * Androwe * Annes * Anthonie * Anthony * Anthonye * Avice * Bennet * Bennett * Christean * Christian * Constance * Cybil * Daniel * Danyell * Dorithie * Dorothee * Dorothy * Edmond * Edmonde * Edmund * Edward * Edwarde * Elizabeth * Elizabethe * Ellen * Ellyn * Emanual * Emanuel * Emanuell * Ester * Frances * Francis * Fraunces * Gabriell * Geoffraie * George * Grace * Harry * Harrye * Henrie * Henry * Henrye * Hughe * Humphrey * Humphrie * Isabel * Isabell * James * Jeames * Jeffrey * Jeffrye * Joane * Johen * Josias * Judeth * Judith * Judithe * Katherine * Katheryne * Leonard * Leonarde * Margaret * Margarett * Margerie * Margerye * Margret * Margrett * Marie * Martha * Marye * Michael * Mychaell * Nathaniel * Nathaniell * Nathanyell * Nicholas * Nicholaus * Nycholas * Peter * Ralph * Rebecka * Richard * Richarde * Robert * Roberte * Roger * Rycharde * Samuell * Sidney * Sindony * Stephen * Susan * Susanna * Suzanna * Sybell * Sybyll * Syndony * Thomas * Valentyne * William * Winifred * Wynefrede * Wynefreed * Wynnefreede
Текст письма:
Выбирается из списка:
* I love you The password is <5 случайных цифр> * To the beloved Password -- <5 случайных цифр> * I love you Use password <5 случайных цифр> * To the beloved Password is <5 случайных цифр> * I love you Zip password: <5 случайных цифр> * To the beloved archive password: <5 случайных цифр>
Имя файла-вложения:
Выбирается из списка:
* Ales.zip * Alice.zip * Alyce.zip * Andrew.zip * Androw.zip * Androwe.zip * Ann.zip * Anna.zip * Anne.zip * Annes.zip * Anthonie.zip * Anthony.zip * Anthonye.zip * Avice.zip * Avis.zip * Avis.zip * Bennet.zip * Bennett.zip * Christean.zip * Christian.zip * Constance.zip * Cybil.zip * Daniel.zip * Danyell.zip * Dorithie.zip * Dorothee.zip * Dorothy.zip * Edmond.zip * Edmonde.zip * Edmund.zip * Edward.zip * Edwarde.zip * Elizabeth.zip * Elizabethe.zip * Ellen.zip * Ellyn.zip * Emanual.zip * Emanuel.zip * Emanuell.zip * Ester.zip * Frances.zip * Francis.zip * Fraunces.zip * Gabriell.zip * Geoffraie.zip * George.zip * Grace.zip * Harry.zip * Harrye.zip * Henrie.zip * Henry.zip * Henrye.zip * Hughe.zip * Humphrey.zip * Humphrie.zip * Isabel.zip * Isabell.zip * James.zip * Jane.zip * Jeames.zip * Jeffrey.zip * Jeffrye.zip * Joane.zip * Johen.zip * John.zip * Josias.zip * Judeth.zip * Judith.zip * Judithe.zip * Katherine.zip * Katheryne.zip * Leonard.zip * Leonarde.zip * Margaret.zip * Margarett.zip * Margerie.zip * Margerye.zip * Margret.zip * Margrett.zip * Marie.zip * Martha.zip * Mary.zip * Marye.zip * Michael.zip * Mychaell.zip * Nathaniel.zip * Nathaniell.zip * Nathanyell.zip * Nicholas.zip * Nicholaus.zip * Nycholas.zip * Peter.zip * Ralph.zip * Rebecka.zip * Richard.zip * Richarde.zip * Robert.zip * Roberte.zip * Roger.zip * Rose.zip * Rycharde.zip * Samuell.zip * Sara.zip * Sidney.zip * Sindony.zip * Stephen.zip * Susan.zip * Susanna.zip * Suzanna.zip * Sybell.zip * Sybyll.zip * Syndony.zip * Thomas.zip * Valentyne.zip * William.zip * Winifred.zip * Wynefrede.zip * Wynefreed.zip * Wynnefreede.zip
Деструктивная активность
Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
a2guard.exe
aavshield.exe
AckWin32.exe
ADVCHK.EXE
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashMaiSv.exe
ashPopWz.exe
ashServ.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
avciman.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgemc.exe
avgfwsrv.exe
AVGNT.EXE
avgntdd
avgntmgr
AVGSERV.EXE
AVGUARD.EXE
avgupsvc.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
AVP.EXE
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
blackd.exe
blackice.exe
cafix.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CFIAUDIT.EXE
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMGrdian.exe
cpd.exe
DefWatch.exe
DOORS.EXE
DrVirus.exe
drwadins.exe
drweb32w.exe
drwebscd.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
F-PROT95.EXE
F-Sched.exe
F-StopW.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FireSvc.exe
FireTray.exe
FIREWALL.EXE
fpavupdm.exe
freshclam.exe
FRW.EXE
fsav32.exe
fsavgui.exe
fsbwsys.exe
fsdfwd.exe
FSGK32.EXE
fsgk32st.exe
fsguiexe.exe
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
fspex.exe
fssm32.exe
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
GUARDGUI.EXE
GuardNT.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISRV95.EXE
ISSVC.exe
JEDI.EXE
KAV.exe
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
livesrv.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCOMSERVER.EXE
Luupdate.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MINILOG.EXE
MONITOR.EXE
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVW32.EXE
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NISSERV
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWService.exe
OfcPfwSvc.exe
OUTPOST.EXE
PAV.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PNMSRV.EXE
POP3TRAP.EXE
POPROXY.EXE
prevsrv.exe
PsImSvc.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
ScanningProcess.exe
sched.exe
sdhelp.exe
SERVIC~1.EXE
SHSTAT.EXE
SiteCli.exe
smc.exe
SNDSrvc.exe
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
stopsignav.exe
swAgent.exe
swdoctor.exe
SWNETSUP.EXE
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
TAUMON.EXE
TBMon.exe
TC.EXE
tca.exe
TCM.EXE
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
THAV.EXE
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
TNBUtil.exe
TRJSCAN.EXE
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vchk.exe
vcrmon.exe
VetTray.exe
VirusKeeper.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
WATCHDOG.EXE
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
Winaw32.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zlclient.exe
zonealarm.exe
С целью блокирования запуска следующих приложений червь удаляет ключи реестра, соответствующие этим программам:
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido security suite control
ewido security suite driver
ewido security suite guard
F-Prot Antivirus Update Monitor
F-Secure Gatekeeper Handler Starter
firewall
fsbwsys
FSDFWD
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
NDIS_RD
Ndisuio
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCC_PFW
PCCPFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
Quick Heal Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
T_H_S_M
The_Hacker_Antivirus
tm_cfw
Tmntsrv
TmPfw
tmproxy
tmtdi
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wscsvc
wuauserv
xcomm
Также червь содержит в себе следующий список URL, которые проверяются на наличие файлов:
http://1point2.iae.nl/777.gif
http://5050clothing.com/777.gif
http://appaloosa.no/777.gif
http://apromed.com/777.gif
http://arborfolia.com/777.gif
http://areal-realt.ru/777.gif
http://art4u1.superhost.pl/777.gif
http://art-bizar.foxnet.pl/777.gif
http://asdesign.cz/777.gif
http://avenue.ee/777.gif
http://axelero.hu/777.gif
http://bartex-cit.com.pl/777.gif
http://bazarbekr.sk/777.gif
http://bid-usa.com/777.gif
http://biliskov.com/777.gif
http://biomedpel.cz/777.gif
http://bitel.ru/777.gif
http://blackbull.cz/777.gif
http://bohuminsko.cz/777.gif
http://bonsai-world.com.au/777.gif
http://bpsbillboards.com/777.gif
http://cadinformatics.com/777.gif
http://calamarco.com/777.gif
http://canecaecia.com/777.gif
http://ceramax.co.kr/777.gif
http://charlesspaans.com/777.gif
http://chatsk.wz.cz/777.gif
http://checkalertusa.com/777.gif
http://cibernegocios.com.ar/777.gif
http://cof666.shockonline.net/777.gif
http://comaxtechnologies.net/777.gif
http://compucel.com/777.gif
http://concellodesandias.com/777.gif
http://continentalcarbonindia.com/777.gif
http://dev.jintek.com/777.gif
http://dogoodesign.ch/777.gif
http://donchef.com/777.gif
http://erich-kaestner-schule-donaueschingen.de/777.gif
http://foxvcoin.com/777.gif
http://ftp-dom.earthlink.net/777.gif
http://gnu.univ.gda.pl/777.gif
http://grupdogus.de/777.gif
http://hotchillishop.de/777.gif
http://ilikesimple.com/777.gif
http://innovation.ojom.net/777.gif
http://kisalfold.com/777.gif
http://knickimbit.de/777.gif
http://kremz.ru/777.gif
http://massgroup.de/777.gif
http://ouarzazateservices.com/777.gif
http://pawlacz.com/777.gif
http://poliklinika-vajnorska.sk/777.gif
http://prime.gushi.org/777.gif
http://stats-adf.altadis.com/777.gif
http://svatba.viskot.cz/777.gif
http://systemforex.de/777.gif
http://ujscie.one.pl/777.gif
http://uwua132.org/777.gif
http://vanvakfi.com/777.gif
http://vega-sps.com/777.gif
http://vidus.ru/777.gif
http://viralstrategies.com/777.gif
http://Vivamodelhobby.com/777.gif
http://vkinfotech.com/777.gif
http://vproinc.com/777.gif
http://v-v-kopretiny.ic.cz/777.gif
http://vytukas.com/777.gif
http://waisenhaus-kenya.ch/777.gif
http://watsrisuphan.org/777.gif
http://wbecanada.com/777.gif
http://web-comp.hu/777.gif
http://webfull.com/777.gif
http://welvo.com/777.gif
http://wvpilots.org/777.gif
http://www.ag.ohio-state.edu/777.gif
http://www.ag.ohio-state.edu/777.gif
http://www.artbed.pl/777.gif
http://www.aureaorodeley.com/777.gif
http://www.autoekb.ru/777.gif
http://www.autovorota.ru/777.gif
http://www.avinpharma.ru/777.gif
http://www.castnetnultimedia.com/777.gif
http://www.chapisteriadaniel.com/777.gif
http://www.chittychat.com/777.gif
http://www.cort.ru/777.gif
http://www.crfj.com/777.gif
http://www.jonogueira.com/777.gif
http://www.kersten.de/777.gif
http://www.kljbwadersloh.de/777.gif
http://www.voov.de/777.gif
http://www.walsch.de/777.gif
http://www.wchat.cz/777.gif
http://www.wg-aufbau-bautzen.de/777.gif
http://www.wzhuate.com/777.gif
http://xotravel.ru/777.gif
http://yeniguntugla.com/777.gif
http://yetii.no-ip.com/777.gif
http://zebrachina.net/777.gif
http://zsnabreznaknm.sk/777.gif
В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему, сохранен в системном каталоге Windows (%System%\re_file.exe) и запущен на исполнение.
Ладно, не доказали. Но мы работаем над этим