Technical Details
Интернет червь, распространяется в электронных письмах и при активизации рассылает
себя с зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся
в адресной книге Outlook.
Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic.
Код червя явно заимствован из VBS-вируса “I-Worm.LoveLetter”
– код и названия процедур червя в некоторых случаях практически полностью повторяют
“LoveLetter”, т.е. VBS-код червя “LoveLetter” был адаптирован к языку VisualBasic
и откомпилирован в EXE-файл.
При запуске червя (если пользователь “кликнет” на файле-вложении) червь инсталлирует
себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные)
действия.
Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно,
и является телом червя.

The message has:
Письмо имеет следующие характеристики:
Тема письма: My baby pic !!!
Сообщение в письме: Its my animated baby picture !!
Имя прикрепленного файла: mybabypic.exe
При активизации (если пользователь открывает прикрепленный файл) червь получает
доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает
по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и
имя прикрепленного файла те же, что и выше.
Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows
файлы со своими копиями. Имена создаваемых файлов:
WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE
Затем червь записывает ссылки на эти файлы в секции автоматического запуска
системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic = %WinSystem%mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 = %WinSystem%WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices = %WinSystem%Win32DLL.exe
где %WinSystem% является именем системного каталога Windows. В результате червь
активизируется при каждом перезапуске Windows.
Червь также создает свой собственный ключ реестра:
HKCUSoftwareBugger
Default = HACK[2K]
mailed = %number%
где %number% является числом 0,1,2 или 3 в зависимости от “стадии” действия
червя: инсталляция, распространение, деструктивные действия.
Проявления червя достаточно многообразны. В зависимости от текущей даты и времени
червь:
- включает/выключает NumLock, CapLock и ScrollLock
- посылает в буфер клавиатуры текст:
IM_BESIDES_YOU_
- открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:
FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER
Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями
червь выполняет различные действия:
VBS, VBE: уничтожает их содержимое.
JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением
.EXE и записывает в них свою копию.
JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою
копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет.
MP2, MP3: создает новый файл и именем MP-файла и расширением .EXE и записывает
в него свою копию. У первоначальных MP-файлов устанавливает атрибут “скрытый”.
|