Описание
Win32.HLLM.Expletus.45056 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем семейства Windows. Размер программного модуля червя, упакованного утилитой сжатия FSG - 16 208 байт.
Распространяется по электронной почте и файлообменной сети KaZaA.
Изменяет стартовую страницу MS Internet Explorer и блокирует доступ пользователя к редактору системного реестра.
Распространение
В поисках почтовых адресов для своей рассылки для распространения по электронной почте червь сканирует локальную адресную книгу. Рассылка производится с помощью встроенного в тело червя механизма реализации протокола SMTP.
Почтовое сообщение, инфицированное червем, выглядит следующим образом.
Адрес отправителя: подставляется червем из списка, хранящегося в его теле.
Тема сообщения может быть одной из следующих:
Hello! Tommorow? News! Old classmate. Klex virus making its rounds. I found your password :) Do you want this? I finally finished my program! Your request. I\'ve been hurt. But am alright. Your beta test has arrived. Postmaster: Message Failure Postmaster: Undeliverable Mail Postmaster: Message Failure What is this? : New billing procedure. About %s %s not working. School tragedy! Bomb! School Policy! Bomb threat! School report. School danger!. Incorrect Address... Your dad. Hilarous joke. Your family. Faked emode.com results. Problem with %s... I can\'t load %s... %s is screwing up. WTF is up with %s!!!Текст сообщения выбирается из следующего списка текстов, мы приводим лишь некоторые из них.
- I hope you\'re the one who asked for this, I don\'t really remember, but thought I might as well send it anyway.
- Well a lot of people haven\'t heard very much about my \"injury\", but my insurance company said I should give this to everybody I know. Run it and you\'ll understand everything.
- We have detected a security gap within Windows internal dll\'s, we suggest all users run this program which seals the gap. Otherwise, any damaged data will not be compinsated for by Microsoft.
- Ha. Remember this guy?
- Hey, I managed to get your password for your e-mail. I suggest you use this utility (I attached it) to fortify your account and you can also use it to retrieve other peoples passwords (don\'t try it on me, since I already used it to protect mine). I\'ll keep my name secret, I don\'t want to get sued :) . BTW, I\'m sending this to more people than just you, but I used it on multiple people.
- Hey, I found this on Download.com a while ago and forgot to send it too you. I thought you may be interested. It should be attached, if it isn\'t just e-mail me again.
- The following message could not be sent because the recipients mailbox was full.
- We have started a new billing procedure, see the attached invoice for more information. This message must have been sent to me by mistake, appearantly it\'s meant for you. Don\'t worry I didn\'t read all of it :).
- Your dad told me to send this to you, i think you\'ll understand.
- I got this from my dad\'s old attorney, he said it could be very useful to you.
- I did a search for your name and I think someone faked your emode.com test results. See what you think: Results automatically attached.
- I can\'t seem to get the site working, it always sends me to a URL with this file. What\'s wrong?
- Sorry to bother you, but when I try to load the site it always gives me this file.
- Is there any way to keep it from sending me this file? Thanks.
- Why do you let the kids play this awful game?
- The bomb threat you may get today might be real, see the image:
MFCApp.exe dogs.scr gettogether.scr Invoice.scr yourmsg.scr file.scr BlueS-Injury.scr MSSecure.scr underdog will.scr joke.scr billing resultsЕсли расширение вложения .bat, com, .exe или .pif, тогда его название будет одним из следующих:
KlezRem PWordGet-Lite SnowBall gettogether underdogВложение также может иметь двойное расширение, и если второе расширение файла .bat, com, .exe или .pif, его название может быть следующим:
apache.exe index.scr unknownurl.pif autoupdate.exe oddfile.exe cgibin.com qk193.zip.exe servrequest.com msupdate.exe screenshot.scr ie6upg.exe flash6.comПрограммный модуль червя также может попадать на компьютеры в виде ZIP-архива.
Чтобы обеспечить свое распространение по файлообменной сети KaZaA, через ключ реестра
HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\ DlDir0
червь осуществляет поиск разделяемой директории KaZaA и копирует себя в нее в виде файлов со следующими названиями:
AdobePhotoShopPlugin.com AnarchistCookbook.scr Annihilator.exe Annil-RemoveTool.exe blueprints.scr carmenelectra.scr CheatBook2003.scr Cold Mountain-flash.scr desktopmate.exe doom2.exe Eminem Unleashed-flash.scr f16Sim.exe funnyscreensaver.scr hl2source.com hotstuff.scr James Bond-flash.scr Madonna-Video.exe MatrixSaver.scr Opera7Beta.exe Passion.scr Resident Evil 2-flash.scr stripper.exe SuperBowlJanet-flash.scr The last samuri-flash.scr Warcraft3Beta.exe winXPcrack.exe winzip32.com winzip32.exe winzipcrack.exe XboxHack.com
Действия
Будучи запущенным, червь демонстрирует на экране дисплея сообщение об ошибке следующего содержания.
-
Заголовок: System Error
Текст: File execution aborted: Unable to find MFC42.dll.
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Название данных, добавляемых червем в этот ключ, будет таким же, как и название его копии.
Червь изменяет стартовую страницу MS Internet Explorer внеся изменения в реестровую запись
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main
\"Start Page\" = \"http: //www.cnn.com\"
\"NotifyDownloadComplete\" = 0
Червь блокирует доступ пользователя к системному реестру, внеся изменения в ключ реестра
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
\"DisableRegistryTools\"=1
