Вот описание виновника торжества :
http://info.drweb.com/virus_description/103883Win32.HLLM.Perf
(Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B,
Win32.Scano.E@mm.VBS, Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)
Описание
Win32.HLLM.Perf - почтовый червь массовой рассылки
Распространение
Распространяется по электронной почте в виде вложения. Подделывает адрес отправителя.
Варианты тем для писем:
Привет,какие новости?
Ты сегодня ко мне приедешь?
Я тебя сегодня видела?
Варианты тел писем:
Приветик, как у тебя дела?... Ты сегодня в интернете будешь?
Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока)
Ксюха
Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать...
Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду!
Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась...
Держи архив с документом, позвоним не сегодня, пока.
В качестве вложения создается .cab архив, в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl".
Пример "me.doc .cpl" внутри архива me.cab
Запуск вируса.
Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью в реестре:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.
Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows"
Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml
Извлекаемые адреса не должны содержать подстрок:
"@example." "Mailer-Daemon@" "-0"
"2003" "@subscribe" ".00"
"2004" "kasp" "@."
"2005" "admin" "---"
"2006" "icrosoft" "abuse"
"@hotmail" "support" "panda"
"@msn" "ntivi" "cafee"
"@microsoft" "unix" "spam"
"rating@" "bsd" "pgp"
"f-secur" "linux" "@avp."
"news" "listserv" "noreply"
"update" "certific" "local"
".qmail" "torvalds@" "root@"
".gif" "sopho" "postmaster@"
"anyone@" "@foo" ".0"
"bugs@" "@iana" ".1"
"contract@" "free-av" ".2"
"feste" "@messagelab" ".3"
"gold-certs@" "winzip" ".4"
"help@" "google" ".5"
"info@" "winrar" ".6"
"nobody@" "samples" ".7"
"noone@" "spm111@" ".8"
"0000" ".." ".9"
Действия.
При старте пытается скачать и исполнить непосредственно .exe файл
http: // 85.249.23.43 / 0.exe
или получить зашифрованный список адресов для дальнейшего скачивания:
http: // 85.249.23.35/m2/ g.php
http: // 207.46.250.119/g/ m.php
http: // 84.22.161.192/s/ f.php
В случае обнаружения виртуальной машины вирус открывает сайт
www.na<censored>uy.com и завершает свою работу.
