Email-Worm.Win32.Ligon

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Win32-червь, распространяется во вложениях в электронную почту. Состоит из двух компонент:

  • Основная компонента: Win32-программа (PE EXE-файл) размером около 360K, написана на Delphi
  • VBS-скрипт: VBS-программа, пытается распространить червя в пределах локальной сети

    Основная компонента

    При запуске (если пользователь, например, откроет ее из вложения в письмо) основная EXE-компонента копирует себя в каталог Windows и именем «PCpower.exe» и в системный каталог Windows с именем «MyLinong.exe». Затем
    червь создает VBS-компоненту с именем «MyLinong.VBS» в системном каталоге Windows.

    Затем эти файлы регистрируются в системном реестре:

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
    PCPower = %windir%PCpower.exe
    MyLinong = %winsystemdir%MyLinong.exe
    Linong = %winsystemdir%MyLinong.vbs

    Затем червь рассылает себя в электронной почте, файл-вложение может иметь 16 разных имен (см. ниже). При рассылке писем используется стандарт MAPI.

    Червь просматривает первые 50 писем в почтовом ящике и берет те из них, которые имеют вложенные файлы. Из этих писем червь считывает адреса электронной почты и отсылает на них письмо со своей копией, вложенной в письмо. Тема и текст письма, также как и имя вложенного файла случайно
    выбираются из 16 вариантов:

    Имя файла:

    CFusion.Exe
    PatchFusion.exe
    MyLinong.Exe
    Light up the night.exe
    StarMild.exe
    Kiss.Exe
    Sexy.Exe
    Popeye.exe
    Olive.exe
    BullBull.exe
    Moly.exe
    Lovely.exe
    868879.exe
    help.exe
    BillGate
    Mikropos

    Тема:

    Info From CFusion
    Patch Your CFusion
    Still Remember You
    Light Up The Night
    Man Choice
    Kiss Me
    Sexy Model
    Popeye Cartoon
    Olive & Popeye
    MyGirlFriend Dogs
    My Girl Friend’ Dogs
    Sweet Lovely
    Password
    Need Help
    Bill
    Mikropos

    Текст письма:

    You can update your Cfusion Online For Free
    Are You Ready Fix Your Cfusion,Please Update
    She is MY sexy Linong
    Light up The Night PARTY…
    Are You Man or women. This is The sponsor from our site The man choice
    100 way to kiss your GirlFriend or your boyfriend
    Did you ever see the sexy girls like her
    The New Popeye New Cartoon NetWork
    Olive And Popeye Cartoon
    Nice dog…
    Good Dog and Smart dogs
    My Icq Friend Sweet and Lovely
    Here The list of Nude Password Website. All of them Still Active, and few of them are death password
    Do you need help ? to get money over the internet. You can read the help
    Bill..
    The New Mikropos Software From Mikropos Network

    Проявления

    Червь создает каталоги с именами:

    «C:Linong I Love U So Much Linong For ever My Love%n»

    где %n является числом от 0 до 500 (в некоторых случаях червь создает меньшее количество каталогов)

    Червь выводит сообщения:

    25 июня:

    Message From Me
    Happy Birthday To MyLinong
    Still Remember Me…

    22 июля:

    Today I want tell you Once again that
    I LOVE U SO MUCH LINONG
    Hey user, Please Help me to Tell the world
    That I Love Her So Much

    14 ноября:

    Hi..Nong..I Love You So much.
    But today we must Say GoodBye For ever
    I wait U in the next Life, and Remember I Love You So Much

    VBS-скрипт

    Является модификацией вируса «I-Worm.Linong» и предназначен для совместной работы с EXE-компонентой червя.

    При запуске VBS-скрипт определяет IP адрес компьютера, на котором он запустился, затем сканирует подсеть: случайным образом модифицирует последнее число в IP адресе (например если адрес 10.10.10.1 то последняя 1
    заменяется на произвольное число от 1 до 254). Если обнаружен компьютер с подобным адресом, то скрипт пытается подключить диск C: этого компьютера как сетевой ресурс (диск) с именем J:.

    Если попытка подключения к компьютеру успешна, червь копирует файл c:windowslinong.vbs на подключенный сетевой диск по следующим путям:

    «j:»
    «j:windowsstartm~1programsstartup»
    «j:windows»
    «j:windowsstart menuprogramsstartup»

    В реализации этого алгоритма допущена ошибка в следствии которой червь не способен распространяться по локальной сети.

    В дальнейшем червь пытается рассылать свою EXE-компоненту с зараженных машин в письмах с:

    Тема: One of this mail
    Текст: True Story….
    Вложение: mylinong.exe

    однако этого не происходит по причине ошибки в коде вируса.

    Далее червь так же, как и червь «I-Worm.Linong»:

  • создает 600 пустых каталогов С:LINONG I LOVE YOU MY FOLDER%n (где %n — число от 1 до 600)
  • создает свои копии с именами:

    %windows%mylinong.txt.shs
    %windows%SYSTEMKern32Lin.vbs
    %windows%Vbrun32DLL.vbs
    %windows%SYSTEMmylinong.TXT.vbs

  • и регистрирует в реестре запуск файла (несуществующего файла):

    HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
    Vbrun32DLL = %windows%Win32DLL.vbs

    Червь далее создает HTA файл и запускает его, в результате на экран выводится текст, содержащийся в HTA:

    I Love You 
  Linong
 You are the love of my love,  5173n1n3ty31gh7
 Almost One Year.., Miss U
 01*29**879
 01*29**868
 *-*