Интернет-червь, распространяющийся в качестве вложений в зараженные электронные письма. Написан на MFC.
Размер файла червя около 125 КБ. Упакован при помощи ASPack. Размер распакованного файла - около 205 КБ.
После запуска червь копирует себя с различными именами в системный и корневой каталог Windows:
%system%\hxdef.exe
%system%\IEXPLORE.exe
%system%\Kernel66.dll
%system%\RAVMOND.exe
%windir%\SYSTRA.exe
c:\command.exe
Также сохраняет слои компоненты в файлы:
%SysDir%\Lmmib20.dll
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\NetMeeting.exe
%system%\spoolsv.exe
Также создает файл с именем "AUTORUN.INF" в корневом каталоге всех доступных дисков.
Червь может создавать несколько своих копий в формате ZIP или RAR, в корневых каталогах всех доступных дисков, с произвольными именами.
Регистрирует несколько своих копий в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinHelp"="%System%\WinHelp.exe"
"Hardware Profile"="%system%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
Также создает следующие ключи реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="RAVMOND.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"SystemTra"="%Windir%\Systra.exe"
Создает дополнительный ключ в реестре, для определения своего присутствия в системе:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1]
Делает папку "с:\windows\Media" доступной для доступа из локальной сети под именем \\Media.
Копирует себя на все доступные сетевые диски под именами:
autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe
Пытается копировать себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта "Administrator". При переборе паролей использует следующую таблицу:
!@#$ |
654321 |
mypass |
При удачном соединении копирует себя в "\admin$\system32\NetManager.exe" и запускает данный файл в качестве сервиса "Windows Management NetWork Service Extensions".
Червь "отвечает" на письма, находящие в папке "Входящие".
Также он ищет адреса для рассылки себя через email в файлах с расширениями:
adb
asp
dbx
htm
htm
php
pl
sht
tbb
wab
Зараженные письма содержат текст:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.> Get your FREE
now! <
Имя прикрепляемого файла выбирается случайным образом из списка:
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
Также червь рассылает себя, используя собственный SMTP.
Заголовок заражённых писем выбирается из списка:
Error
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test
Тело письма одно из:
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail failed. For further assistance, please contact!
Имя приклепляемого файла создаётся случайным обзазом и имеет расширения:
exe, scr, pif, cmd, bat, zip, rar
Завершает процессы, содержащие в именах строки:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
А также:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
Собирает информацию о зараженном компьютере в файл "c:\Netlog.txt" и отправляет его по электронной почту автору червя.
Устанавливает бэкдор на порт TCP 6000 для приема команд.
Запускает FPT-сервер на произвольном порту без авторизации на вход.
Червь ищет на всех доступных дисках от C: до Z: файлы с расширением *.exe и переименовывает их в *.zmx, устанавливает для данных файлов атрибут "скрытый/системный" и копирует себя вместо оригинальных файлов с их оригинальными именами (принцип работы Companion-вируса).
Первое — находим постоянно, второе — ждем вас