Win32.HLLM.Generic.274

Описание

Win32.HLLM.Generic.274 - почтовый червь массовой рассылки. Написан на MS Visual Basic и упакован упаковщиком UPX. Размер исполняемого модуля червя в упакованном виде 18 944 байта, в распакованном - 90 112 байт.
Червь массово распространяется по электронной почте, используя функции MAPI.
Блокирует некоторые приложения и процессы.
Предпринимает попытки организации DoS-атак против веб-сайтов www.norton.com и www.microsoft.com.

Запуск вируса

Червь вносит изменения в следующие реестровые записи:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  "(Default)" = "C:\WINDOWS\system32\NOTEPAD.exe"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "Crusty" = "C:\Program Files\dmcpl.exe"

Распространение

После попадания в систему червь начинает рассылать себя, используя функции MAPI. Отправка писем осуществляется по всем адресам, обнаруженным им в локальной адресной книгеOutlook. Почтовое сообщение, инфицированное Win32.HLLM.Generic.274, обладает следующими характеристиками:

Тема сообщения может отсутствовать, либо выбираться из следующего списка:

  
   Mail Delivery System 
   Check this out! 
   Important information for you. Read it immediately!
    

   The message cannot be represented in 7-bit ASCII encoding and has been sent as a 
binary attachment 
   
   Hey, try this file that i've found yesterday, it's very useful!..check link 
   Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/Body,.Html.%65x%65
   
   see the attached file or go to 
   Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/TFAK.zip :D 
   
   

   AvPc AntiAv.exe 
   Body,.Html.exe
   doc.exe 
       

Действия

Будучи активированным, червь создает в системе несколько файлов:

• В директории Windows
  

     C:\Windows\Start Menu\Programs\Startup\F-PROT.exe 
     C:\Windows\security\Emzy.exe 
     C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup\CPF9X206.exe 
     C:\Windows\doc.exe 
     

• В системной директории Windows

     notepad.exe 
     SB4CW.exe 
     

• В корневой директории диска С:\

     AvPc AntiAv.exe
     Body,.Html.exe 
     ResHacker.exe 
     

• В директории C:\Program Files

     WinRAR.exe 
     dmcpl.exe 
     

• В директории С:\Documents and Settings\All Users\Start menu\Programs\Startup\

     VPFW30S.exe 
     

Червь блокирует деятельность приложений и сервисов, в названиях окон которых есть строки:

   Command Prompt 
   LiveUpdate 
   Norton AntiVirus 
   Norton AntiVirus Quarantine 
   PC DOOR GUARD MANAGER 
   Quarantine 
   Registry Editor 
   RegRun II 
   System Restore 
   Windows Explorer 
   Windows Task Manager