Email-Worm.Win32.Toil

Technické údaje

Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a infikuje aplikace Win32 v místních počítačích a síťových prostředích. Používá knihovnu {"Win32.InvictusDLL": Win32_InvictusDLL} k infikování souborů.

Struktura infikovaných souborů se zobrazí takto:

  � ===================== �   � infikovaných �   � hostitel souboru �   � �   � -------------------- ��   ��polymorfní kód ��   �� INVICTUS ��   �� ��   � + ------------------- + �   ��body INVICTUS.DLL ��   � + ------------------- + �   �� tělo ��   �L -------------------- �  L ===================== -

Při spuštění infikovaného souboru je řídící tok předán k polymorfnímu kódu knihovny INVICTUS – to se provádí buď okamžitě, pokud vstupní bod programu ukazuje přímo na kód viru, nebo v závislosti na struktuře hostitele, pokud "Entry Point obscuring " byl použit. Tento kód dešifruje a vytvoří na disku knihovnu INVICTUS.DLL ve složce% SYSTEM% a kód červu ve složce% TEMP% s náhodným názvem souboru a pak spustí červa.

Soubor červa je aplikace systému Windows (soubor PEE EXE) o délce 8 kB a je napsán v assembleru.

Instalace

Když je červ spuštěn, nainstaluje se do systému a poté aktivuje rutinu odesílání e-mailových zpráv a infikování souborů Win32 a rutiny pro užitečné zatížení.

Během instalace se červeň zkopíruje do adresáře Windows s názvem arandom a zapíše do System.ini následující hodnoty:

[boot] shell = Explorer.exe% jméno worm% Toto je provedeno tak, aby se červ nezahájil po spuštění systému Windows (pouze v systému Windows 9x / ME).

Šíření

Červ využívá vyhledávací nástroj "Bílé stránky ICQ" pro vyhledání e-mailových adres. Odesílá vyhledávací dotaz do motoru a poté vygeneruje e-mailové adresy z výsledků vyhledávání (ze stránky HTML, která obsahuje výsledky vyhledávání). Slova vyhledávacího dotazu jsou vybrána z následujícího seznamu:

MPB
sex
Dějiny
mp3
přátelé
letoun
ferrari
orgasmus
přátelství
kurva
milovat
sportovní
oslava
kočička
USA
Zvuk

Červ zasílá infikované zprávy všem nalezeným e-mailům. Červ používá přímé připojení k serveru SMTP, který je zvolen červem.

Infikované zprávy obsahují prázdné tělo a jeho předmět je vybrán z následujícího seznamu:

Bin Laden toillete paper !!
Sadam hussein a BinLaden v lásce
Bush dusí bin Ládina těžko <: P
Je Usáma Bin Ládin BAD-LOVEN?
USA proti Ženevské úmluvě?
Anthrax mail je pravdivý (ne vtip)
Biologické zbraně: Prevence!
Fucking mulláh v Islámábádu
O papil higienico do bin Ládina!
Sadam a BinLaden apaixonados
Bush fudendo bin Ládin <: P
Ser� que o Osama � mal-amado?
EUA agree convenṁao de genova?
Antraz pelo koreio (verdade)
Armas biologicas: Previna-se!
Fudendo ummm Islamabad
Bin Landen Toalettpapper
Sadam hussein a BinLaden �rf�r�lsk
ade Bush knullar Bin Ládin h�rt <: P
�r Osama Bin Laden inte �lskad?
�r USA emot Geneve �verenskom melsen?
Anthrax existerar patentu (det �r inget sk�mt)
Biologiska vapen: Frhrhindra!
Knulla v muslimě v Islámábádu
papír toillette bin Ládin
Sadam & BinLaden CZ AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim?
Usa proti kongresu v Genevě?
Le courrier Anthrax existuje
Arme Biologique: Příklady!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen!
Hussein & Bin Ládin, ERASTES
Bush gamaei agria bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles mě Antraka, einai gegonos
Biologika wpla: Prostasie!
Gamontas ena Moula na Islámábádu

Název přílohy : BINLADEN_BRASIL.EXE

Červ používá ve svých zprávách bezpečnostní porušení IFRAME v aplikaci Microsoft Internet Explorer, takže se může automaticky spouštět při prohlížení infikované zprávy.

Nahrazení souborů na lokálních discích

Červ infikuje následující soubory v adresáři Windows:

HH.EXE
NETSTAT.EXE
CALC.EXE

Také červa najde všechny programy v applogu systému Windows (většina aplikací spuštěných v počítači jsou registrována zde) a infikuje je. Potom červa nalezne spuštěnou kopii EXPLORER.EXE, zavře ji a infikuje soubor.

Nahrazení souborů na síťových zdrojích

Červ vyjmenuje síťové zdroje (vzdálené disky a adresáře) a připojí se k nim. Pokouší se zkopírovat do síťových prostředků s náhodným názvem souboru do následujících adresářů:

VYHRÁT
WIN2000
WIN2K
WINNT
OKNA
WINXP

a zapíše se do vzdáleného systému a spustí se automaticky se systémem Windows (pouze Windows 9x / ME).

Rutina užitečného zatížení

V závislosti na náhodném čítači červ načte následující řetězec náhodným počtem náhodných barev:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU BŮH SHIVA TUPA DIOS BŮH

a zobrazí se okno s informacemi:

Potom červa "spí" po dobu 10 sekund a znehodnotí obsah obrazovky.

jiný

Červ hledá a zavírá následující okna:

Antivirová sada nástrojů Pro
AVP Monitor
Norton AntiVirus
Alarm zóny
Svoboda
Avconsol
McAfee VirusScan
Vshwin32

Červ vytvoří následující klíč registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

a nastaví hodnoty tak, aby umožňoval úplný přístup k jednotce C: z místní sítě.

Červ odstraní následující klíč registru:

HKLMSystemCurrentControlSetServicesVxDNAVAP

a následující hodnotu registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

Červ zapíše všechna síťová hesla do mezipaměti% WINDOWS% BinLaden.ini.

Červ obsahuje následující text:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, všechny ppl v #vxers
A samozřejmě, Usámu bin Ládina. Udržujte dobrou práci s Antrhaxem, člověče!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Kódováno NBK [MATRiX]
Každý brazilský HATES USA … Jen se pokuste dostat Amazon z USA