Email-Worm.Win32.Tettona

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Содержит «бекдор»-процедуру.

Червь является приложением Windows (PE EXE-файл), имеет размер около 35K упакован Petite, размер распакованного файла — около 75K), написан на Microsoft Visual C++.

Зараженные письма содержат тексты, которые зависят от дня месяца и поддержки итальянского языка:


Заголовки:

Incredible..
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.

Тело письма начинается со строки «Hello,» или «Ciao,», затем следует один из текстов:

see this interesting file.
okkio all’allegato 😉
devi assolutamente vedere il file che ti ho allegato.
apri subito l’allegato,e’ MOLTO interessante.

Тело письма завершается строкой «A presto…» или «Bye.»

Возможные имена вложений:

tettona.exe
euro.exe
tattoo.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.


Инсталляция

При инсталляции червь копирует себя с именем DLLMGR32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
DllManager = %windir%dllmgr32.exe

Затем червь выводит ложное сообщение об ошибке:


Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу, считывает адреса из адресной базы WAB (Windows Address Book) и рассылает по ним зараженные сообщения.


Бекдор

Бекдор-процедура открывает соединение на порту 5001 и слушает команды удаленного «хозяина». Выполняются следующие команды:

«HELO» — отвечает текстом «Hello, guy»
«SCAN» — отсылает информацию о каталогах и файлах в них (как команда DIR)
«EXEC» — запускает указанный файл
«UNINST» — удаляет червя из системы, включая ключ реестра «Run»
«VIEW» — показывает «хозяину» указанный файл
«DOWN» — отсылает «хозяину» указанный файл


Проявление

12 января выводится сообщение: