Email-Worm.Win32.Ligon

Основная компонента

При запуске (если пользователь, например, откроет ее из вложения в письмо) основная EXE-компонента копирует себя в каталог Windows и именем “PCpower.exe” и в системный каталог Windows с именем “MyLinong.exe”. Затем
червь создает VBS-компоненту с именем “MyLinong.VBS” в системном каталоге Windows.

Затем эти файлы регистрируются в системном реестре:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
PCPower = %windir%PCpower.exe
MyLinong = %winsystemdir%MyLinong.exe
Linong = %winsystemdir%MyLinong.vbs

Затем червь рассылает себя в электронной почте, файл-вложение может иметь 16 разных имен (см. ниже). При рассылке писем используется стандарт MAPI.

Червь просматривает первые 50 писем в почтовом ящике и берет те из них, которые имеют вложенные файлы. Из этих писем червь считывает адреса электронной почты и отсылает на них письмо со своей копией, вложенной в письмо. Тема и текст письма, также как и имя вложенного файла случайно
выбираются из 16 вариантов:

Имя файла:

CFusion.Exe
PatchFusion.exe
MyLinong.Exe
Light up the night.exe
StarMild.exe
Kiss.Exe
Sexy.Exe
Popeye.exe
Olive.exe
BullBull.exe
Moly.exe
Lovely.exe
868879.exe
help.exe
BillGate
Mikropos

Тема:

Info From CFusion
Patch Your CFusion
Still Remember You
Light Up The Night
Man Choice
Kiss Me
Sexy Model
Popeye Cartoon
Olive & Popeye
MyGirlFriend Dogs
My Girl Friend’ Dogs
Sweet Lovely
Password
Need Help
Bill
Mikropos

Текст письма:

You can update your Cfusion Online For Free
Are You Ready Fix Your Cfusion,Please Update
She is MY sexy Linong
Light up The Night PARTY…
Are You Man or women. This is The sponsor from our site The man choice
100 way to kiss your GirlFriend or your boyfriend
Did you ever see the sexy girls like her
The New Popeye New Cartoon NetWork
Olive And Popeye Cartoon
Nice dog…
Good Dog and Smart dogs
My Icq Friend Sweet and Lovely
Here The list of Nude Password Website. All of them Still Active, and few of them are death password
Do you need help ? to get money over the internet. You can read the help
Bill..
The New Mikropos Software From Mikropos Network

Проявления

Червь создает каталоги с именами:

“C:Linong I Love U So Much Linong For ever My Love%n”

где %n является числом от 0 до 500 (в некоторых случаях червь создает меньшее количество каталогов)

Червь выводит сообщения:

25 июня:

Message From Me
Happy Birthday To MyLinong
Still Remember Me…

22 июля:

Today I want tell you Once again that
I LOVE U SO MUCH LINONG
Hey user, Please Help me to Tell the world
That I Love Her So Much

14 ноября:

Hi..Nong..I Love You So much.
But today we must Say GoodBye For ever
I wait U in the next Life, and Remember I Love You So Much

VBS-скрипт

Является модификацией вируса “I-Worm.Linong” и предназначен для совместной работы с EXE-компонентой червя.

При запуске VBS-скрипт определяет IP адрес компьютера, на котором он запустился, затем сканирует подсеть: случайным образом модифицирует последнее число в IP адресе (например если адрес 10.10.10.1 то последняя 1
заменяется на произвольное число от 1 до 254). Если обнаружен компьютер с подобным адресом, то скрипт пытается подключить диск C: этого компьютера как сетевой ресурс (диск) с именем J:.

Если попытка подключения к компьютеру успешна, червь копирует файл c:windowslinong.vbs на подключенный сетевой диск по следующим путям:

“j:”
“j:windowsstartm~1programsstartup”
“j:windows”
“j:windowsstart menuprogramsstartup”

В реализации этого алгоритма допущена ошибка в следствии которой червь не способен распространяться по локальной сети.

В дальнейшем червь пытается рассылать свою EXE-компоненту с зараженных машин в письмах с:

Тема: One of this mail
Текст: True Story….
Вложение: mylinong.exe

однако этого не происходит по причине ошибки в коде вируса.

Далее червь так же, как и червь “I-Worm.Linong”:

%windows%mylinong.txt.shs
%windows%SYSTEMKern32Lin.vbs
%windows%Vbrun32DLL.vbs
%windows%SYSTEMmylinong.TXT.vbs

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Vbrun32DLL = %windows%Win32DLL.vbs

Червь далее создает HTA файл и запускает его, в результате на экран выводится текст, содержащийся в HTA: