Email-Worm.Win32.Tettona

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Содержит “бекдор”-процедуру.

Червь является приложением Windows (PE EXE-файл), имеет размер около 35K упакован Petite, размер распакованного файла – около 75K), написан на Microsoft Visual C++.

Зараженные письма содержат тексты, которые зависят от дня месяца и поддержки итальянского языка:


Заголовки:

Incredible..
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.

Тело письма начинается со строки “Hello,” или “Ciao,”, затем следует один из текстов:

see this interesting file.
okkio all’allegato 😉
devi assolutamente vedere il file che ti ho allegato.
apri subito l’allegato,e’ MOLTO interessante.

Тело письма завершается строкой “A presto…” или “Bye.”

Возможные имена вложений:

tettona.exe
euro.exe
tattoo.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.


Инсталляция

При инсталляции червь копирует себя с именем DLLMGR32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
DllManager = %windir%dllmgr32.exe

Затем червь выводит ложное сообщение об ошибке:


Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу, считывает адреса из адресной базы WAB (Windows Address Book) и рассылает по ним зараженные сообщения.


Бекдор

Бекдор-процедура открывает соединение на порту 5001 и слушает команды удаленного “хозяина”. Выполняются следующие команды:

“HELO” – отвечает текстом “Hello, guy”
“SCAN” – отсылает информацию о каталогах и файлах в них (как команда DIR)
“EXEC” – запускает указанный файл
“UNINST” – удаляет червя из системы, включая ключ реестра “Run”
“VIEW” – показывает “хозяину” указанный файл
“DOWN” – отсылает “хозяину” указанный файл


Проявление

12 января выводится сообщение:

Узнай статистику распространения угроз в твоем регионе