Email-Worm.Win32.Wurmark.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя следующие уязвимости:

• Microsoft SQL Server 2000 or MSDE 2000 audit ( Microsoft Security Bulletin MS02-061 )
• The DCOM RPC ( Microsoft Security Bulletin MS03-026 )
• The Workstation Service Buffer Overrun ( Microsoft Security Bulletin MS03-049 )
• Exploits the Microsoft Windows LSASS ( Microsoft Security Bulletin MS04-011 )

Червь является приложением Windows, имеет размер около 423КБ, упакован MEW. Размер распакованного файла около 1159КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После своего запуска червь открывает окно, в котором показывает файл "uglym.jpg":

При инсталляции червь копирует себя с именем "xxz.tmp" в системный каталог Windows.

Червь создает в системном каталоге Windows следующие файлы:

%System%\ANSMTP.DLL
  %System%\attached.zip
  %System%\bszip.dll
  %System%\SVKP.sys
  %System%\uglym.jpg
  %System%\winit.exe

Email-Worm.Win32.Wurmark.a регистрирует себя в ключах автозагрузки системного реестра:

[HKCU\Software\Microsoft\OLE]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   "virtual"="winit.exe"

Также червь создает следующие ключи реестра:

[HKCR\ANSMTP.MassSender.1]
  [HKCR\ANSMTP.MassSender]
  [HKCR\ANSMTP.OBJ.1]
  [HKCR\ANSMTP.OBJ]
  [HKCR\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}]
  [HKCR\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}]
  [HKCR\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}]
  [HKCR\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}]
  [HKCR\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}]
  [HKCR\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}]
  [HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}]
  [HKLM\SYSTEM\CurrentControlSet\Enum\Root\SVKP]
  [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
  asp
  dbx
  doc
  htm
  html
  php
  sht
  tbb
  txt
  wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.gov
  adaware
  avguk
  grisoft
  kaspersky
  lavasoft
  mcafee
  nod32
  pandasoftware
  sophos
  symantec
  trendmicro

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hhahahah lol!!!!
  Rate My Pic.......
  You have an Admirer
  Your Pic On A Website!!

Текст письма:

Выбирается из списка:

i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...

I was looking at a website and came across this pic they look just like you! infact im sure is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say I wont be offended p.s i was drunk when it was taken :P

Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.

Имя файла-вложения:

Выбирается из списка:

admire_001.exe
  attachment.zip
  for_you.pif
  is_this_you.scr
  love_04.scr
  Photo_01.pif
  Pic_001.exe
  Scan_04.scr
  Sexy_09.scr

Размножение через локальную сеть

Червь копирует себя в следующие доступные сетевые ресурсы:

ADMIN$
  C$
  D$
  IPC$

Удаленное администрирование

Червь подключается к серверу windowss.serveftp.com и открывает произвольный TCP-порт на зараженной машине для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.