Worm.Win32.Hai

Класс Worm
Платформа Win32
Описание

Technical Details

Сетевой вирус-червь, распространяющийся по локальной сети. Представляет из себя 60K-программу Win32, написанную на MS Visual C++. Известная версия вируса зашифрована утилитой шифрований Win32 EXE-файлов PELock.

Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог
WINDOWS. Если такой обнаружен, вирус копирует себя туда со случайным EXE-именем (например, RLITK.EXE, STNXOUL.EXE) и регистрирует этот файл в заражаемом каталоге в файле WIN.INI в команде авто-запуска «Run=» (т.е. червь
в состоянии заразить только компьютеры Win9x).

При модификации файла WIN.INI червь использует временный файл WIN.HAI, по этой причине червь и получил свое имя.

Червь также сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его. Результат соединения никак не используется червем.

Алгоритм перебора IP-адресов следующий: червь берет IP-адрес зараженной машины как базовый адрес, затем запускает два под-процесса. Один из них перебирает IP-адреса от базового с увеличением адреса на единицу, другой — с уменьшением на единицу.

Т.е. если IP-адрес текущей машины 192.3.2.1, то червь будет сканировать IP-адреса в следующей последовательности:

 первый процесс   второй процесс

 192.3.2.1        192.3.2.1
 192.3.2.2        192.3.1.255
 192.3.2.3        192.3.1.254
 192.3.2.4        192.3.1.253
 ...              ...
 192.3.2.255      192.3.1.1
 192.3.3.1        192.2.255.255
 ...              ...
 192.3.255.255    192.1.1.1
 192.4.1.1        191.255.255.255