Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Darkprof

Добавлен в вирусную базу Dr.Web: 2003-10-31

Описание добавлено:

Описание

Win32.HLLM.Darkprof - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP.
Распространяется по электронной почте, используя собственную реализацию протокола SMTP.
На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP.
Размер программного модуля червя упакованного компрессионной утилитой UPX 12832 байта.

Запуск вируса

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
\"NetWatch32\" = \"%Windows%\\NETWATCH.EXE\"
в реестровую запись
HKEY_Local_Machine\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run

Распространение

Перед началом процедуры саморассылки червь проверяет подключен ли инфицированный компьютер к интернету, пытаясь установить соединение c узлом www.google.com. Если соединение установлено червь начинает массово распространять себя по всем адресам, найденным им на пораженном компьютере и сохраняемым червем в файле eml.tmp в директории Windows. Исключаются из поиска файлы со следующими расширениями:

.avi 
.bmp 
.cab 
.com 
.dll 
.exe 
.gif 
.jpg 
.mp3 
.mpg 
.ocx 
.pdf 
.psd 
.rar 
.tif 
.vxd 
.wav 
.zip 
Червь рассылает почтовые сообщения, используя собственную реализацию протокола SMTP. Почтовое сообщение, инфицированное Win32.HLLM.Darkprof, выглядит следующим образом:
    Отправитель:james@ ------%s, где %s - доменное имя пользователя пораженного компьютера
    Тема сообщения:Re[2]: our private photos %%%, где % - набор символов
    Текст сообщения:
    Hello Dear!, 
    Finally i\'ve found possibility to right u, my lovely girl :) 
    All our photos which i\'ve made at the beach (even when u\'re without ur bh:))
    photos are great! This evening i\'ll come and we\'ll make the best SEX :) Right now enjoy the photos. Kiss, James. %%%

    где %%%% - набор символов.
    Вложение: PHOTOS.ZIP

Внутри архива находится файл photos.jpg.exe.

Действия

Запущенный самим пользователем ZIP архив содержит копию червя NETWATCH.EXE, помещаемую им в директорию Windows. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия червя
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
проводит DoS-атаку на следующий веб-сайты:
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
Червь похищает с компьютера информацию из окон Internet Explorer и отсылает ее, предположительно своему создателю, по адресам:
omnibbb@gmx.net 
drbz@mail15.com 
omnibcd@gmx.net 
kxva@mail15.com 
Похищенные данные червь хранит в создаваемом им в корневой директории диска C:\\ файле TMPE.TMP. В последствии этот файл удаляется червем.