Net-Worm.Win32.Maslan.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимости в службах LSASS ( MS04-011 ) и RPC DCOM ( MS03-039 ).

Червь является приложением Windows (PE EXE-файл), имеет размер около 49КБ, упакован FSG. Размер распакованного файла около 81КБ.

Червь содержит в себе бэкдор, принимающий команды по каналам IRC.

Инсталляция

После запуска червь может создавать в системном каталоге Windows следующие файлы:

%System%\___AlaDdos
  %System%\___AlaFtp
  %System%\___AlaMail
  %System%\___AlaScan
  %System%\___e
  %System%\___j.dll
  %System%\___m
  %System%\___m
  %System%\___n.EXE
  %System%\___Prior
  %System%\___r.exe
  %System%\___t

Net-Worm.Win32.Maslan.a регистрирует себя в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Microsoft Windows DHCP"="%System%\___r.exe"
   "Microsoft Synchronization Manager"="___synmgr.exe"

Червь создает уникальный идентификатор " ALAxALA" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу Microsoft Outlook, а также ищет адреса в файлах со следующими расширениями:

adb
  asp
  cfg
  cgi
  dbx
  dhtm
  eml
  htm
  jsp
  mbx
  mdx
  mht
  mmf
  msg
  nch

ods
  oft
  php
  pl
  sht
  shtm
  stm
  tbb
  txt
  uin
  wab
  wsh
  xls
  xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse 
  acketst
  anyone
  arin.
  avp
  berkeley
  borlan
  bsd
  bugs
  ca
  contact
  example
  feste
  fido
  foo.
  fsf.
  gnu
  gold-certs
  google
  help
  iana
  ibm.com
  ietf
  info
  inpris
  isc.o
  isi.e
  kernel
  linux
  math
  me
  mit.e
  mozilla
  mydomai
  mysql
  no
  nobody

nodomai
  noone
  not
  nothing
  page
  panda
  pgp
  postmaster
  privacy
  rating
  rfc-ed
  ripe.
  root
  ruslis
  samples
  secur
  sendmail
  service
  site
  soft
  somebody
  someone
  sopho
  spam
  spm
  submit
  syma
  tanford.e
  test
  the.bat
  unix
  usenet
  utgers.ed
  webmaster
  www
  you
  your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из следующих списков:

Имя:

accoun
  admin
  Alan
  Andrew
  Angel
  Anna
  Arnold
  Bernard
  Carter
  certific
  Chris
  Christian
  Conor
  Ghisler
  Goldberg
  Green
  Helen
  Ivan
  Jackson

John
  Kramer
  Kutcher
  listserv
  Liza
  Lopez
  Mackye
  Maria
  Miller
  Nelson
  ntivi
  Peter
  Robert
  Ruben
  Sarah
  Scott
  Smith
  Steven
  subscribe

Домен отправителя:

aol.com
  freemail.com
  hotmail.com
  mail.com
  msn.com
  yahoo.com

Тема письма:

123

Текст письма:

Hello <случайное имя>,
  --Best regards,

Имя файла-вложения:

Playgirls2.exe

Действие

Червь сканирует жесткий диск, чтобы найти exe-файлы, путь до которых содержит следующие строки:

distr
  downlo
  setup
  share
  upload

Червь записывает себя вместо оригинальных файлов, копируя их в создаваемую в корне диска С: директорию "___b", попадая, таким образом, в папки файлообменных сетей.

Также червь пытается выгрузить из системы различные межсетевые экраны и антивирусные программы.

Червь реализует DoS-атаку на следующие сайты:

chechenpress.com
  chechenpress.info
  kavkaz.org.uk
  kavkaz.tv
  kavkaz.uk.com
  kavkazcenter.com
  kavkazcenter.info
  kavkazcenter.net

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP-порт для соединения с IRC-каналами для приема команд.

Прочее

Net-Worm.Win32.Maslan.a содержит следующие строки:

Hah: Mydoom, Bagle, etc: since then you do not have future more!