Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLW.Annil.1

Добавлен в вирусную базу Dr.Web: 2004-04-02

Описание добавлено:

Описание

Win32.HLLM.Expletus.45056 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем семейства Windows. Размер программного модуля червя, упакованного утилитой сжатия FSG - 16 208 байт.

Распространяется по электронной почте и файлообменной сети KaZaA.

Изменяет стартовую страницу MS Internet Explorer и блокирует доступ пользователя к редактору системного реестра.

Распространение

В поисках почтовых адресов для своей рассылки для распространения по электронной почте червь сканирует локальную адресную книгу. Рассылка производится с помощью встроенного в тело червя механизма реализации протокола SMTP.

Почтовое сообщение, инфицированное червем, выглядит следующим образом.
Адрес отправителя: подставляется червем из списка, хранящегося в его теле.
Тема сообщения может быть одной из следующих:

Hello! 
Tommorow? 
News! 
Old classmate. 
Klex virus making its rounds. 
I found your password :) 
Do you want this? 
I finally finished my program! 
Your request. 
I\'ve been hurt. But am alright. 
Your beta test has arrived. 
Postmaster: Message Failure 
Postmaster: Undeliverable Mail 
Postmaster: Message Failure 
What is this? 
: New billing procedure. 
About %s 
%s not working. 
School tragedy! 
Bomb! 
School Policy! 
Bomb threat! 
School report. 
School danger!.
Incorrect Address... 
Your dad. 
Hilarous joke. 
Your family. 
Faked emode.com results. 
Problem with %s... 
I can\'t load %s... 
%s is screwing up. 
WTF is up with %s!!! 
Текст сообщения выбирается из следующего списка текстов, мы приводим лишь некоторые из них.
  • I hope you\'re the one who asked for this, I don\'t really remember, but thought I might as well send it anyway.
  • Well a lot of people haven\'t heard very much about my \"injury\", but my insurance company said I should give this to everybody I know. Run it and you\'ll understand everything.
  • We have detected a security gap within Windows internal dll\'s, we suggest all users run this program which seals the gap. Otherwise, any damaged data will not be compinsated for by Microsoft.
  • Ha. Remember this guy?
  • Hey, I managed to get your password for your e-mail. I suggest you use this utility (I attached it) to fortify your account and you can also use it to retrieve other peoples passwords (don\'t try it on me, since I already used it to protect mine). I\'ll keep my name secret, I don\'t want to get sued :) . BTW, I\'m sending this to more people than just you, but I used it on multiple people.
  • Hey, I found this on Download.com a while ago and forgot to send it too you. I thought you may be interested. It should be attached, if it isn\'t just e-mail me again.
  • The following message could not be sent because the recipients mailbox was full.
  • We have started a new billing procedure, see the attached invoice for more information. This message must have been sent to me by mistake, appearantly it\'s meant for you. Don\'t worry I didn\'t read all of it :).
  • Your dad told me to send this to you, i think you\'ll understand.
  • I got this from my dad\'s old attorney, he said it could be very useful to you.
  • I did a search for your name and I think someone faked your emode.com test results. See what you think: Results automatically attached.
  • I can\'t seem to get the site working, it always sends me to a URL with this file. What\'s wrong?
  • Sorry to bother you, but when I try to load the site it always gives me this file.
  • Is there any way to keep it from sending me this file? Thanks.
  • Why do you let the kids play this awful game?
  • The bomb threat you may get today might be real, see the image:
Вложение выбирается из следующего списка и ему присваивается расширение .src
MFCApp.exe 
dogs.scr 
gettogether.scr 
Invoice.scr 
yourmsg.scr 
file.scr 
BlueS-Injury.scr 
MSSecure.scr 
underdog 
will.scr 
joke.scr 
billing 
results
Если расширение вложения .bat, com, .exe или .pif, тогда его название будет одним из следующих:
KlezRem 
PWordGet-Lite 
SnowBall 
gettogether 
underdog
Вложение также может иметь двойное расширение, и если второе расширение файла .bat, com, .exe или .pif, его название может быть следующим:
apache.exe 
index.scr 
unknownurl.pif 
autoupdate.exe 
oddfile.exe 
cgibin.com 
qk193.zip.exe 
servrequest.com
msupdate.exe 
screenshot.scr 
ie6upg.exe 
flash6.com 
Программный модуль червя также может попадать на компьютеры в виде ZIP-архива.

Чтобы обеспечить свое распространение по файлообменной сети KaZaA, через ключ реестра
HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\ DlDir0
червь осуществляет поиск разделяемой директории KaZaA и копирует себя в нее в виде файлов со следующими названиями:

AdobePhotoShopPlugin.com 
AnarchistCookbook.scr 
Annihilator.exe 
Annil-RemoveTool.exe 
blueprints.scr 
carmenelectra.scr 
CheatBook2003.scr 
Cold Mountain-flash.scr 
desktopmate.exe 
doom2.exe 
Eminem Unleashed-flash.scr 
f16Sim.exe 
funnyscreensaver.scr 
hl2source.com 
hotstuff.scr 
James Bond-flash.scr 
Madonna-Video.exe 
MatrixSaver.scr 
Opera7Beta.exe 
Passion.scr 
Resident Evil 2-flash.scr 
stripper.exe 
SuperBowlJanet-flash.scr 
The last samuri-flash.scr 
Warcraft3Beta.exe 
winXPcrack.exe 
winzip32.com 
winzip32.exe 
winzipcrack.exe 
XboxHack.com 

Действия

Будучи запущенным, червь демонстрирует на экране дисплея сообщение об ошибке следующего содержания.

    Заголовок: System Error
    Текст: File execution aborted: Unable to find MFC42.dll.
Попав в систему, червь не копирует себя в определенную директорию. Местоположение для копии червя выбирается им случайным образом. Путь к своей копии червь прописывает в ключе реестра
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Название данных, добавляемых червем в этот ключ, будет таким же, как и название его копии.

Червь изменяет стартовую страницу MS Internet Explorer внеся изменения в реестровую запись HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main
\"Start Page\" = \"http: //www.cnn.com\" \"NotifyDownloadComplete\" = 0

Червь блокирует доступ пользователя к системному реестру, внеся изменения в ключ реестра HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
\"DisableRegistryTools\"=1