Описание
Win32.HLLM.MyDoom.43520 - почтовый червь массовой рассылки. Упакован компрессионной утилитой exe32pack версии 1.37. Размер червя в распакованном виде 43, 520 байта. Внутри червя содержится строка “We searching 4 work in AV industry”.
Распространение
Почтовое сообщение формируется червем при помощи собственной реализации механизма SMTP следующим образом.
Адрес отправителя подставляется червем. Имя отправителя представляет собой комбинацию имени и фамилии, призвольно выбранных из следующего списка:
Porter Tucker Stevens Simpson Webb Wells Freeman Murray Gomez Ortiz Marshall Cruz Parker Campbell Phillips Turner Roberts Perez Mitchell Carter Nelson Gonzalez Baker Adams Green Hill Lopez Wright King Hernandez Young Allen Hall Walker Lee Lewis Rodriguez Clark Robinson Martinez Garcia Thompson Martin Harris White Jackson Anderson Taylor Moore Wilson Miller Davis Brown Jones Williams Johnson Smith Leon Tommy Lloyd Bill Ronnie Jon Alex Calvin Tom Jim Jay Oscar Miguel Clifford Theodore Micheal Marcus Francisco Leroy Mario Bernard Alexander Barry Randall Troy Ricky Carl Henry Douglas Harold Peter Patrick Walter Dennis Jerry Joshua Gregory Raymond Andrew Stephen Eric Scott Frank Jeffrey Larry Jose Timothy Gary Matthew Jason Kevin Anthony Ronald Brian Edward Steven Kenneth George Donald Mark Paul Daniel Christopher Thomas Joseph Charles Richard David William Michael Robert John JamesДоменное имя адреса отправителя может быть
cox.net, yahoo.com, @msn.com, @yahoo.co.uk, @t-online.de, @gmx.net, @hotmail.com, @aol.com, @mail.com, @dailymail.co.uk.
Темы сообщений:
thanks! Thank you! read it immediately Re: Your document Re: Status Re: Question Re: Proof of concept Re: Message Re: Hi Re: Hello Private document Notice again News my Information important Hi! hi here helloТексты сообщений:
screensaverlol! fun photos New game relax Virus removal tool You are infected by virus. Run this exe apply this patch! apply patch. game fun game! fun! lol! See the file. See attached file for details. Please read the important document. Please read the attached file. Please confirm the document. I have attached document. Your requested mail has been attached. Your archive is attached. Waiting for a Response. Please read the attachment. Thanks! Please see the attached file for details Please read the document. Please read the attached file! Please confirm! Please answer quickly! Monthly news report. For more details see the attachment. For further details see the attachment. Can you confirm it? You win!За текстом следует стандартное окончание послания:
+++ Attachment: No Virus found +++ %sсоповождаемое подписью одной из антивирусных компаний:
Norton AntiVirus - www.symantec.de F-Secure AntiVirus - www.f-secure.com Norman AntiVirus - www.norman.com Panda AntiVirus - www.pandasoftware.com Kaspersky AntiVirus - www.kaspersky.com MC-Afee AntiVirus - www.mcafee.com Bitdefender AntiVirus - www.bitdefender.com MessageLabs AntiVirus - www.messagelabs.comНаименования вложений:
lol.scr fun.scr antivirus.exe patch.exe new.exe pic.exe photo.exe game.exe file.exe message,.zip letter.zip information.zip info.zip file.zip details.zip data.zip bill.zip new.zip report.zip doc.zip document.zipВложения также могут иметь двойные расширения:
Message.html.pif rep.txt.pif bill.txt.pif review.txt.pif report.txt.pif mesg.txt.pif doc.txt.pif bill.rtf.pif review.rtf.pif report.rtf.pif mesg.rtf.pif doc.rtf.pif bill.doc.pif review.doc.pif report.doc.pif mesg.doc.pif doc.doc.pif document.doc.pif
Дальнейшая рассылка осуществляется по адресам, которые червь извлекает из файлов с расширениями:
wab, xls, vbs, uin, txt, tbb, stm, sht, php, msg, mht, jsp, htm, eml, dht, dbx, cgi, cfg, asp, находящихся в директориях Application Data, My Documents, Desktop, Local Settings, Temporary Internet Files и адресной книге Windows (WAB) через ключ реестра
Software\Microsoft\WAB\WAB4\Wab File Name.
Рассылка не осуществляется по адресам, в которых содержатся следующие последовательности символов:
gold-certs feste submit help service privacy somebody contact site someone anyone nothing nobody noreply noone webmaster news rating postmaster samples info root www upport abuse accoun certific listserv bsd ntivi admin icq.com mozilla utgers.ed tanford.e pgp acketst secur isc.o isi.e ripe. arin. sendmail rfc-ed ietf iana usenet fido kernel google ibm.com fsf. gnu mit.e math berkeley support messagelabs antivi kasp linux unix spam @iana @foo. .mil gov. .gov icrosoft ruslis nodomai mydomai example inpris borlan sopho panda icrosof syman avp.
Действия
- Копирует себя в системную директорию в виде файла winspf32.exe и в %Userprofile%\Start Menu\Programs\Startup\ в виде файла rx32hh00.exe
- Загружает из сети интернет и запускает следующий файл:
http://www.llc.unibo.it/guestbook/temp/temp754.dat
http://www.surrenderzeeland.nl/guestbook/temp/temp432.dat http://www.mercyships.de/html/content/guestbook/temp/temp732.dat
http://www.hiw.kuleuven.ac.be/psychoanalyse/guestbook/temp/temp384.dat
http://www.ach.ch/Livredor/temp/temp284.dat
http://vugs.geog.uu.nl/guestbook/temp/temp194.dat
http://www.planetboredom.net/bullshit/sucks/temp/temp184.dat
http://guttorm.hveem.no/blogg/wp-rss.css
- Добваляютя данные WinSPF в ключ реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
обеспечивая, таким образом, запуск своей копии - Добавляет данные FrankenShteiN в ключ реестра
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent