I-Worm.Bofra.a

Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения.

Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Инсталляция

После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows.

Например:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe

Затем регистрирует данный файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Rhino" = "%System%\<любой набор символов>32.exe"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adbh
  aspd
  dbxn
  htmb
  phpq
  pl
  
  shtl
  tbbg
  txt
  wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.edu
  .gov
  .mil
  abuse
  accoun
  acketst
  admin
  anyone
  arin.
  avp
  berkeley
  borlan
  bsd
  bugs
  ca
  certific
  contact
  example
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  gov.
  help
  hotmail

iana
  ibm.com
  icrosof
  icrosoft
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  listserv
  math
  me
  mit.e
  mozilla
  msn.
  mydomai
  no
  nobody
  nodomai
  noone
  not
  nothing
  ntivi
  page
  panda
  pgp

postmaster
  privacy
  rating
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  submit
  support
  syma
  tanford.e
  the.bat
  unix
  usenet
  utgers.ed
  webmaster
  you
  your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя одну из следующих строк:

adam
  alex
  alice
  andrew
  anna
  bill
  bob
  brenda
  brent
  brian
  claudia
  dan
  dave
  david
  debby
  fred

george
  helen
  jack
  james
  jane
  jerry
  jim
  jimmy
  joe
  john
  jose
  julie
  kevin
  leo
  linda
  maria

mary
  matt
  michael
  mike
  peter
  ray
  robert
  sam
  sandra
  serg
  smith
  stan
  steve
  ted
  tom

Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка:

aol.com
  hotmail.com
  msn.com
  yahoo.com

Тема письма:

Выбирается из списка:

funny photos :)
  hello
  hey!

Текст письма:

Выбирается из следующих вариантов:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

Файл-вложение:

В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат:

http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла>

Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла.

Подпись к письму:

Выбирается из списка:

Checked by Dr.Web (http://www.drweb.net)
  Checked for viruses by Gordano's AntiVirus Software
  scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.