Описание
Win32.HLLM.Bugbear.3 - почтовый червь массовой рассылки. Написан на MS Visual C++ и упакован упаковщиком UPX. Размер исполняемого модуля червя 52 743 байта.
Червь массово распространяется по электронной почте, используя собственную реализацию протокола SMTP.
Программа содержит в себе троянский компонент - утилиту регистрации последовательности нажатия клавиш.
Останавливает работу некоторых антивирусных программ и межсетевых экранов (брандмауэров).
Для попадания на компьютер червь использует уязвимость в системе безопасности MS Internet Explorer, связанную с некорректной обработкой MIME заголовков.
Распространение
После попадания в систему червь начинает рассылать себя используя собственную реализацию протокола SMTP. Отправка писем осуществляется по всем адресам, обнаруженным им в файлах с расширениями .dbx, .eml, .mbx, .mmf, .nch, .ods, .tbs. Полученные данные используются червем и для подстановки реквизитов отправителя инфицированного сообщения. Также имя и адрес отправителя могут подставляться червем из огромного списка, хранящегося в его теле.
Почтовое сообщение, инфицированное Win32.HLLM.Bugbear.3, обладает следующими характеристиками:
Тема сообщения:
!!! WARNING !!! 25 merchants and rising Announcement CALL FOR INFORMATION! Correction of errors Cows Daily Email Reminder Greets! Hello! Hi! I need help about script!!! Interesting... Introduction Just a reminder Lost & Found Market Update Report Membership Confirmation My eBay ads New Contests New bonus in your cash account News Payment notices Please Help... Re: Report SCAM alert!!! Sponsors needed Stats Today Only Tools For Your Online Business Warning! Your Gift Your News Alert [Fwd: look] ;-) bad news click on this! empty account fantastic free shipping! good news! history screen hmm.. its easy new reading update various wow! I need help about script!!! Interesting... Introduction Just a reminder Lost & Found Market Update Report Membership Confirmation My eBay ads New Contests New bonus in your cash account News Payment notices Please Help... Re: Report SCAM alert!!! Sponsors needed Stats Today Only Tools For Your Online Business Warning! Your Gift Your News Alert [Fwd: look] ;-)Наименование вложения генерируется червем исходя из имен, обнаруженных им в файлах пораженной системы, находящихся в папке \"Мои Документы\" и ветке реестра
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Personal
Вложению присваивается расширение .exe, .pif или .src. Иногда вложение может быть в формате WinZip. Также вложение может иметь следующее название:
Card data Docs image images music news photo pics readme resume Setup song video
Действия
Попав на компьютер червь помещает свою копию - исполняемый файл со случайным названием и расширением .exe - в системную директорию Windows (в Windows 9x/ME/XP это C:\\Windows, в Windows NT/2000 это C:\\WINNT ) и вносит соответствующие изменения в реестровую запись
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
чтобы обеспечить запуск этой копии при каждом рестарте системы.
Там же червь создает три файла с расширением .dll, один из которых является троянской утилитой регистрации последовательности нажатия клавиш. Размер этого файла 5 632 байта.
Через ключ реестра
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
CurrentVersion\\
Explorer\\Shell Folders\\Cookies
червь осуществляет поиск файлов, находящихся в директории Cookies, расширение которых не есть .dat и в которых есть символы e-gold и удаляет их.
Червь останавливает работу следующих антивирусных программ и межсетевых экранов.
ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE _AVP32.EXE