Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.
Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.
Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.
Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.
После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows.
Например:
C:\WINDOWS\SYSTEM32\kfilaxm32.exe
Затем регистрирует данный файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Rhino" = "%System%\<любой набор символов>32.exe"
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adbh aspd dbxn htmb phpq pl shtl tbbg txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail |
iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp |
postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your |
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Имя отправителя включает в себя одну из следующих строк:
adam alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred |
george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria |
mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom |
Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:
aol.com hotmail.com msn.com yahoo.com
Выбирается из списка:
funny photos :) hello hey!
Выбирается из следующих вариантов:
FREE ADULT VIDEO! SIGN UP NOW!
Look at my homepage with my last webcam photos!
В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:
http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>
Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.
Выбирается из списка:
Checked by Dr.Web (http://www.drweb.net) Checked for viruses by Gordano's AntiVirus Software scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.
Но доступ к знаниям открыт для всех