Email-Worm.Win32.Hadra

Teknik detaylar

Bu e-postalar bir EXE dosyası olarak eklenerek yayılan bir İnternet solucanıdır. Solucan kendisi, VisualBasic ile yazılmış, uzunluğu 12Kb olan bir Win32 yürütülebilir dosyasıdır. Solucan kodu bir UPX Win32 EXE dosyaları sıkıştırma programı ile sıkıştırılmış ve paketini açtığınızda, boyutu yaklaşık 26Kb olur.

Solucan başladığında (bir kullanıcı ekli EXE dosyasına tıkladığında), solucan kendisini MSSERV.EXE adıyla Windows dizinine kopyalar ve bu dosyayı Windows kayıt defteri otomatik çalıştırma anahtarlarında kaydeder:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

Tüm bu "Run =" tuşları daha sonra her Windows başlatıldığında solucan kopyasını çalıştıran dize değerine sahiptir:

msservice =% WinDir% msserv.exe

% WinDir%, Windows ana dizinidir.

Yayma

Solucan, Windows belleğinde gizli bir uygulama (servis) olarak kalır, MS Outlook'a bağlanır ve kendisini MS Outlook "NewMail" ve "ItemSend" olay işleyicisi olarak kaydeder (yani, solucan kendisini MS Outlook olaylarına ekler).

"NewMail" de (yeni bir mail geldi), solucan başka bir virüslü makineden kendi mesajı gibi görünüyor ve sonra siler. Solucan, mesajı açar, EXE ekini arar ve EXE ekinin solucanın EXE dosyasıyla aynı uzunluğa sahip olması durumunda bu mesajı siler.

"ItemSend" (bir mesaj gönderiliyor) durumunda, solucan zaten eklenmiş dosyaları arar, ilkini alır, kendi kopyasıyla değiştirir, eki .EXE olarak yeniden adlandırır ve gönderir. Mesajın eki yoksa, solucan sekiz bitlik bir rastgele isim ve .EXE extenstion ile kendini bağlar.

13 Ağustos Cuma günü saat 13:00 ile 14:00 arasında solucan da mesaj gövdesinin başına bir metin ekler:

[I-Worm.Hydra] … gl_st0rm [milyonlarca]

Koruma

Solucan kendini saklamak ve dosyayı ve bulaşmış kayıt defteri "Run =" tuşlarını kaldırmaktan kaçınmak için çeşitli eylemler gerçekleştirir. Solucan, Windows sistem dizinindeki MSCONFIG.EXE dosyasını siler, aktif uygulamaları arar ve onları öldürür (bu işlemleri sonlandırır):

"AVP Monitor"
"AntiVir"
"Vshwin"
"F-Stopw"
"F-Secure"
"Vettray"
"Inoculateıt"
"Norman Virüs Kontrolü"
"Navpw32"
"Norton virüs koruyucu"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"Dosya Monitörü"
"Kayıt Defteri İzleyicisi"
"Kayıt düzenleyici"
"Görev Yöneticisi"

Sonuç olarak, solucan çeşitli anti-virüs koruma türlerini devre dışı bırakır ve aynı zamanda Registry editörlerini başlatmalarına derhal kapatır.

Solucan ayrıca Kaspersky Anti-Virus (eski AVP) anti-virüs veritabanlarını da öldürür.

SETI Dağıtılmış Ağı Üyesi

Solucan, enfekte bir bilgisayarda SETI (Dünyadışı Zeka Arayışı) yazılımını kurar ve etkinleştirir (http://setiathome.berkeley.edu adresindeki SETI hakkında daha fazla bilgi edinin).

SETI yazılımı solucan tarafından aşağıdaki FTP sitelerinden MSSETI.EXE adıyla Windows dizinine indirilir:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

Solucan ayrıca Windows dizininde aşağıdaki dosyaları oluşturur:

SETI özel bilgileri ile USER_INFO.SAH ve VERSION.SAH
MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT SETI programını çalıştırmak için

kayıt defteri otomatik çalıştırma anahtarlarında RUN_MSSETI.VBS dosyasını kaydeder:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe% WinDir% run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe% WinDir% run_msseti.vbs "

USER_INFO.SAH dosya SETI kullanıcı hakkında kullanıcıya özel bilgiler içerir, solucanlar aşağıdaki ID'leri takip eder:

id = 2199938
Anahtar = 1603033966
email_addr=gl_storm@seznam.cz
= GL_STORM isim
ülke = Çek Cumhuriyeti