Security Lab

Email-Worm.Win32.Breacuk.a

Email-Worm.Win32.Breacuk.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 16КБ, упакован MEW. Размер распакованного файла — около 69КБ.

Инсталляция

После запуска червь копирует себя в папку Windows с произвольным именем из 5 символов. Например:

  • C:\%WinDir%\Fonts\vhpoj.exe
  • C:\%WinDir%\system\vhpoj.exe
  • C:\%WinDir%\system32\vhpoj.exe
  • C:\%WinDir%\Temp\vhpoj.exe

Затем регистрирует себя в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<5 случайных символов>"="C:\%WinDir%\system\vhpoj.exe"
"<5 случайных символов>"="C:\%WinDir%\system32\vhpoj.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<5 случайных символов>"="C:\%WinDir%\Fonts\vhpoj.exe"
"<5 случайных символов>"="C:\%WinDir%\Temp\vhpoj.exe"

Червь создает в памяти уникальный идентификатор "BreaKer_cUk" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  • Re:FW: impossyvel su-lo tanto... :P, vu-lo
  • Re:FW:(none)
  • Re:FW:Aid please! :), to see it
  • Re:FW:Aide s'il vous plait! :), pour le voir
  • Re:FW:Ajuda a ajudar-te... :), vu-lo
  • Re:FW:Ayudame a ayudarte... :), miralo
  • Re:FW:Because it is worth ,to see it
  • Re:FW:Besser Witz des Jahres:), um es zu sehen
  • Re:FW:Besserer Idiot des Jahres, um es zu sehen
  • Re:FW:Besseres Foto des Jahres;), um es zu sehen
  • Re:FW:Better idiot of the year, to see it
  • Re:FW:Better joke of the year:), to see it
  • Re:FW:Better Photo of the year;), to see it
  • Re:FW:Ce que nous voulions toujours... :), pour le voir
  • Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
  • Re:FW:Die schlechtere Sache des Jahres, um es zu sehen
  • Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen
  • Re:FW:Es imposible serlo tanto... :P, miralo
  • Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen
  • Re:FW:Foto migliore dell'anno;), per vederla
  • Re:FW:Hilfe bitte!:), um es zu sehen
  • Re:FW:Idiot migliore dell'anno, vederlo
  • Re:FW:Il est impossible d' tre cela tant de ...:P, le voir
  • Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
  • Re:FW:impossibile a sia tanto... :P, vederlo
  • Re:FW:It is impossible to be it as much... :P, to see it
  • Re:FW:La chose plus mauvaise de l'annue, pour le voir
  • Re:FW:La cosa pi?ettosa dell'anno, vederla
  • Re:FW:Le meilleur idiot de l'annue, pour le voir
  • Re:FW:Lo peor del a o, miralo
  • Re:FW:Lo que siempre quisimos... :). miralo
  • Re:FW:Meilleure Photo de l'annue;), pour le voir
  • Re:FW:Mejor chiste del a o :),miralo
  • Re:FW:Mejor chorrada del a o, miralo
  • Re:FW:Mejor Foto del a o ;), miralo
  • Re:FW:Melhor anedota do ano :),vu-lo
  • Re:FW:Melhor Foto do ano ;), vu-lo
  • Re:FW:Mieux plaisanterie de l'annue :), pour le voir
  • Re:FW:No hay vida sin muerte... :(, miralo
  • Re:FW:Non ci vita senza morte... :(, vederla
  • Re:FW:Nuo hs vida sem morte... :(, vu-lo
  • Re:FW:O mas idiota, vu-lo
  • Re:FW:O pior do ano, vu-lo
  • Re:FW:O que sempre quisemos... :). vu-lo
  • Re:FW:Parce qu'il vaut, le voir
  • Re:FW:Pois vale. vu-lo
  • Re:FW:Preis!:D, um es zu sehen
  • Re:FW:Premio! :D, vederlo
  • Re:FW:Premio!!!! :D, miralo
  • Re:FW:Prix! :D, pour le voir
  • Re:FW:Prize! :D, to see it
  • Re:FW:Prumio!!!! :D, vu-lo
  • Re:FW:Pues vale. miralo
  • Re:FW:Scherzo migliore dell'anno:), per vederlo
  • Re:FW:Sussidio per favore! :), per vederlo
  • Re:FW:The worse thing of the year, to see it
  • Re:FW:There is no life without death... :(, to see it
  • Re:FW:Was wir immer ... wollten:), um es zu sehen
  • Re:FW:Weil das wert ist, es zu sehen
  • Re:FW:What we always wanted...:), to see it

Текст письма:

Выбирается из списка:

  • Kaspersky-Antivirus.
    Kein Virus Gefundenes
    State:Ok
  • Symantec-Antivirus.
    Noo Vyrus.
    State:Ok
  • Symantec-Antivirus.
    Nessun Virus Found.
    State:Ok
  • Kaspersky-Antivirus.
    No Virus Found.
    State:Ok
  • F-Secure-Antivirus.
    Aucun Virus Constat
    State:Ok
  • Panda ActiveScan-Antivirus.
    No se encontraron virus.
    Estado:Ok

Имя файла-вложения:

Выбирается из списка:

  • anedota2004.zip
  • Bilge2004.zip
  • Bonheur.zip
  • chiste2004.zip
  • ck.zip
  • Daswarniewie das.zip
  • Eskannnichtsein.zip
  • explodecarros.zip
  • Exploitedesvoitures.zip
  • exploitscars.zip
  • felicidad.zip
  • felicidade.zip
  • Foto2004.zip
  • foto2004.zip
  • Happiness.zip
  • Heiligtum.zip
  • Ihavetouched it.zip
  • Itcannotbe.zip
  • Itwasneverlikethat.zip
  • jamasfueasi.zip
  • Joke2004.zip
  • Kielraum2004.zip
  • L'hotoccato.zip
  • mehatocado.zip
  • metocou.zip
  • nopuedeser.zip
  • nuncafoiassim.zip
  • opodeser.zip
  • Peggiore2004.zip
  • pegote2004.zip
  • peor2004.zip
  • photo2004.zip
  • Photo2004.zip
  • pior2004.zip
  • Plaisanterie2004.zip
  • Plusmauvais2004.zip
  • rebientacoches.zip
  • Renflement2004.zip
  • Sanctuaire.zip
  • Sanctuary.zip
  • Santuario.zip
  • santuario.zip
  • Scherzo2004.zip
  • Schlechter2004.zip
  • stupido2004.zip
  • tatAutos.zip
  • tonto2004.zip
  • utilizzadelleautomobili.zip
  • Witz2004.zip
  • Worse2004.zip

Действие

После запуска на зараженном компьютере червь открывает следующую интернет-страницу:

http://www.pornprone.com/

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!