Email-Worm.Win32.Toil

Teknik detaylar

Bu virüs bulaşmış e-postaya eklenmiş Internet üzerinden yayılan ve yerel bilgisayarlarda ve ağ kaynaklarında Win32 uygulamalarına bulaşan bir virüs solucanıdır. Dosyaları bulaşmak için {"Win32.InvictusDLL": Win32_InvictusDLL} kütüphanesini kullanır.

Virüslü dosyaların yapısı aşağıdaki gibi görünür:

 =====================
  � enfekte � 
 Host dosya sunucusu � 
  � � 
 --------------------
 Ympolimorfik kod �� 
  �� INVICTUS �� 
  �� �� 
 + ------------------- +
 INbody INVICTUS.DLL �� 
 + ------------------- +
 Vücut solucanı �� 
 L --------------------
 L ===================== -

Virüs bulaşmış bir dosya başlatıldığında, kontrol akışı INVICTUS kütüphanesi polimorfik koduna geçirilir – bu, programın giriş noktasının doğrudan virüs koduna işaret etmesi veya hostun yapısına bağlı olması durumunda hemen yapılır, "Giriş Noktası Engelleniyorsa " kullanıldı. Bu kod, bir diskte, bir% SYSTEM% klasöründeki INVICTUS.DLL kitaplığını ve rastgele bir dosya adıyla% TEMP% klasöründe solucan kodunu çözer ve oluşturur ve sonra solucanı başlatır.

Solucanın dosyası yaklaşık 8 Kb uzunluğunda bir Windows uygulaması (PE EXE dosyası) ve assembler'da yazılmıştır.

Kurulum

Solucan başlatıldığında, sisteme kendini yükler ve daha sonra e-posta iletilerini gönderme ve Win32 dosyalarını ve taşıma yordamını bulaşma rutinini etkinleştirir.

Yüklerken, solucan kendisini bir arandom dosya ismiyle Windows direğine kopyalar ve aşağıdaki değerleri SYSTEM.INI dosyasına yazar:

[boot] shell = Explorer.exe% solucan adı% Bu, solucanın Windows başlangıcında başlatılmaması için yapıldı (yalnızca Windows 9x / ME'de).

Yayma

Solucan, e-posta adreslerini bulmak için "ICQ Beyaz sayfalar" arama motorunu kullanır. Motora bir arama sorgusu gönderir ve ardından arama sonuçlarından (arama sonuçlarını içeren bir HTML sayfasından) e-posta adresleri çıkarır. Arama sorgusu için kelimeler aşağıdaki listeden seçilir:

MPB
seks
Tarihçe
mp3
Arkadaş
uçak
ferrari
orgazm
dostluk
Kahretsin
Aşk
Spor Dalları
Parti
kedi
Amerika Birleşik Devletleri
ses

Solucan, bulunan tüm e-postalara virüslü mesajlar gönderir. Solucan, solucan tarafından seçilen bir SMTP sunucusuna doğrudan bağlantı kullanır.

Etkilenen iletiler boş bir gövde içerir ve konusu aşağıdaki listeden seçilir:

Bin Ladin toillete kağıt!
Sadam hussein & BinLaden IN LOVE
Bush Bin Ladin'i zorlukla sikiyor <: P
Usame Bin Ladin BAD-SEVDİ Mİ?
ABD Cenevre Sözleşmesi'ne karşı mı?
Şarbon posta doğrudur (şaka değil)
Biyolojik silahlar: Önleme!
İslamabad'da bir molla lanet olsun
O papel higienico Bin Ladin!
Sadam e BinLaden apaixonados
Bush fudendo Bin Ladin <: P
Osama � mal-amado?
EUA conven�ao de genova agride?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
Fudendo um mul� em İslamabad
Bin Landen Toalettpapper
Sadam hussein & BinLaden �rf�r�lsk
ade Bush knullar Bin Ladin h�rt <: P
Osr Usame Bin Ladin inte �lskad?
Emotr ABD duygu Geneve �verenskom melsen?
Anthrax brevet existerar (sk�mt'yi değiştir)
Biologiska vapen: F�rhindra!
Knulla en müslüman i İslamabad
papier toillette Bin Ladin
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Ladin <: P
Usame Bin Ladin Mal Aim�?
Usa contre de Geneve?
Le Courrier Anthrax existe vraiment
Arme Biologique: Önlemler!
Baiser un molla � İslamabad
Xarti toualetas Bin Landen !!
Hüseyin & Bin Ladin, ERASTES
O Bush gamaei agria ton Bin Ladin
Einai Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles beni Antraka, einai gegonos
Biologika wpla: Prostasia!
Gamontas ena Moula İslamabad'ı

Ek adı : BINLADEN_BRASIL.EXE

Solucan, mesajlarında Microsoft Internet Explorer'da bir IFRAME güvenlik ihlali kullanır; bu nedenle, virüslü bir mesaj görüntülendiğinde otomatik olarak başlatılabilir.

Yerel disklerdeki dosyaları bulaştırarak

Solucan, Windows dizinindeki aşağıdaki dosyalara bulaşır:

Hh.exe
Netstat.exe
CALC.EXE

Ayrıca, solucan Windows applog'daki tüm programları bulur (bilgisayarda başlatılan çoğu uygulama burada kaydedilir) ve onları enfekte eder. Sonra, solucan EXPLORER.EXE başlatılan bir kopyasını bulur, kapatır ve dosyaya bulaşır.

Ağ kaynaklarındaki dosyaları etkileme

Solucan ağ kaynaklarını (uzak diskleri ve dizinleri) numaralandırır ve bunlara bağlanır. Kendisini ağ kaynaklarına rastgele bir dosya adıyla aşağıdaki dizinlere kopyalamaya çalışır:

WIN
WIN2000
WIN2K
wınnt
WINDOWS
WINXP

ve Windows ile otomatik olarak başlatmak için uzak bir sistemde kendini kaydeder (sadece Windows 9x / ME).

Yük rutini

Rasgele sayaca bağlı olarak, solucan aşağıdaki diziyi rastgele bir renkle rastgele bir sayıya çeker:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU TANRı SHIVA TUPA DIOS DEUS

ve bir mesaj kutusu görüntüler:

Sonra solucan 10 saniye "uyur" ve ekranın içeriğini bozar.

Diğer

Solucan aşağıdaki pencereleri bulmaya ve kapatmaya çalışır:

Antiviral Toolkit Pro
AVP Monitörü
Norton virüs koruyucu
Bölge alarmı
özgürlük
Avconsol
McAfee VirusScan
Vshwin32

Solucan aşağıdaki kayıt defteri anahtarını oluşturur:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

ve değerlerini, yerel bir ağdan C: sürücüsüne tam erişime izin verecek şekilde ayarlar.

Solucan aşağıdaki kayıt defteri anahtarını siler:

HKLMSystemCurrentControlSetServicesVxDNAVAP

ve aşağıdaki kayıt defteri değeri:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Otomatik Koruma

Solucan, önbelleğe alınmış tüm ağ şifrelerini% WINDOWS% BinLaden.ini dosyasına yazar.

Solucan aşağıdaki metni içerir:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, #vxers içinde tüm ppl
Ve tabi ki, Usame Bin Ladin. İyi işi Antrhax ile sakla, adamım!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
NBK tarafından kodlanmış [MATRiX]
Her Brezilya HATES ABD … Sadece ABD'DEN ABD