Вирус-червь, распространяющийся в виде вложений в электронные письма.
Представляет собой PE EXE-файл. Размер зараженного файла — 40565 байт.
Также вирус обладает функцией загрузки без ведома пользователя файлов из сети Интернет.
Инсталляция
При инсталляции червь создает скрытую папку:
%Documents and Settings%\Application Data\hidn
Сюда он копирует свой исполняемый файл под следующими именами:
%Documents and Settings%\Application Data\hidn\hidn2.exe %Documents and Settings%\Application Data\hidn\hldrrr.exe
Вредоносная программа добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%Documents and Settings%\Application Data\hidn\hidn2.exe"
Таким образом, червь будет автоматически запускаться при каждом новом старте Windows.
Вирус удаляет следующий ключ реестра с целью обеспечения невозможности загрузки системы в «безопасном режиме»:
[HKLM\System\CurrentControlSet\Control\SafeBoot]
Распространение через e-mail
Адреса для рассылки зараженных писем червь ищет на всех разделах жесткого диска в файлах, имеющих расширения:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Данная модификация червя может загружать из Интернета файлы, содержащие адреса электронной почты будущих жертв. Список страниц, где размещены данные файлы, весьма объемен:
http://www.tita***tors.com/images/1/eml.php http://veranm***ala.com/1/eml.php http://wkligh***azwa.pl/1/eml.php http://yon***n24.co.kr/1/eml.php http://acce***le.cl/1/eml.php http://hotel***lba.com/1/eml.php http://am***dy.com/1/eml.php http://inca.d***solution.net/1/eml.php http://www.aura***.com/1/eml.php http://avatare***atis.com/1/eml.php http://be***lu.com.tr/1/eml.php http://brand***ck.com/1/eml.php http://www.buy***ital.co.kr/1/eml.php http://cam***mafra.sc.gov.br/1/eml.php http://campos***ipamentos.com.br/1/eml.php http://cbr***o.sos.pl/1/eml.php http://c-***.com.au/1/eml.php http://www.***npl.com/1/eml.php http://coparefre***s.stantonstreetgroup.com/1/eml.php http://creai***ire.com/1/eml.php http://dese***i.com.br/1/eml.php http://www.in***file.gr/1/eml.php http://www.d***.cl/1/eml.php http://www.disco***apuzzle.com/1/eml.php
Все скачанные файлы сохраняется в корневом каталоге Windows:
%WinDir%\elist.xpt
Вирус рассылает зараженные письма по всем содержащимся в указанных файлах адресам электронной почты. Следует отметить, что при этом игнорируются адреса, где встречаются следующие подстроки:
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
При рассылке зараженных сообщений червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Имя файла-вложения
Выбирается произвольным образом из списка:
new_price.zip price.zip latest_price.zip
Деструктивная активность
Червь содержит в себе определенное количество URL-адресов, которые проверяются на наличие файлов:
http://ceramax.co.kr***
http://prime.gushi.org***
http://www.chapisteriadaniel.com***
http://charlesspaans.com***
http://chatsk.wz.cz***
http://www.chittychat.com***
http://checkalertusa.com***
http://cibernegocios.com.ar***
http://5050clothing.com***
http://cof666.shockonline.net***
http://comaxtechnologies.net***
http://concellodesandias.com***
http://www.cort.ru***
http://donchef.com***
http://www.crfj.com***
http://kremz.ru***
http://dev.jintek.com***
http://foxvcoin.com***
http://uwua132.org***
http://v-v-kopretiny.ic.cz***
http://erich-kaestner-schule-donaueschingen.de***
http://vanvakfi.com***
http://axelero.hu***
http://kisalfold.com***
http://vega-sps.com***
http://vidus.ru***
http://viralstrategies.com***
http://svatba.viskot.cz***
http://Vivamodelhobby.com***
http://vkinfotech.com***
http://vytukas.com***
http://waisenhaus-kenya.ch***
http://watsrisuphan.org***
http://www.ag.ohio-state.edu***
http://wbecanada.com***
http://calamarco.com***
http://vproinc.com***
http://grupdogus.de***
http://knickimbit.de***
http://dogoodesign.ch***
http://systemforex.de***
http://zebrachina.net***
http://www.walsch.de***
http://hotchillishop.de***
http://innovation.ojom.net***
http://massgroup.de***
http://web-comp.hu***
http://webfull.com***
http://welvo.com***
http://www.ag.ohio-state.edu***
http://poliklinika-vajnorska.sk***
http://wvpilots.org***
http://www.kersten.de***
http://www.kljbwadersloh.de***
http://www.voov.de***
http://www.wchat.cz***
http://www.wg-aufbau-bautzen.de***
http://www.wzhuate.com***
http://zsnabreznaknm.sk***
http://xotravel.ru***
http://ilikesimple.com***
http://yeniguntugla.com***
В случае если по какому-то из указанных адресов располагается файл, он будет загружен в систему, сохранен в системном каталоге Windows: («%System%\re_file.exe») и запущен на исполнение.
И мы тоже не спим, чтобы держать вас в курсе всех угроз