29.01.2007
Email-Worm.Win32.Zhelatin.h
Почтовый червяк, исполняемый файл имеет размер 50629 байта, сжат UPX.
1. Удаляет ключ автозапуска «Agent» из ключа реестра Windows\CurrentVersion\Run
2. Переключает режим запуска службы SharedAccess на 4 (отключен), что приводит к блокировке встроенного Firewall
3. Создает файл iro6L3h.exe (размером 35 кб, UPX) и запускает его. Имя данного исполняемого файла генерируется при каждом запуске случайным образом.
4. Сканирует файлы на диске для поиска адресов.
5. После сканирования и построения базы адресов начинает рассылку своих копий по почте с использование встроенной реализации SMTP клиента.
В теле червя содержится ряд заготовок для построения письма (в частности, база заголовков вида «The Time for Love», «When You Fall in Love», «Your Love Has Opened», «Bubble Bath Coupon» … таких заготовок около сотни), база имен и шаблон письма, состоящего из текстовой части в кодировке iso-8859-1 и вложения. Несмотря на наличие текстовой части письма в рассылаемых письмах она пустая, т.е. приходящее письмо содержит только заголовок и вложение в виде EXE файла, который является копией червя в чистом виде. Типовые имена вложенных файлов - flash postcard.exe, greeting card.exe, postcard.exe, greeting postcard.exe.
Приложение iro6L3h.exe является компонентом червя для инсталляции kernel-mode кода. Он создает на диске WINDOWS\system32\wincom32.sys и регистрирует его под именем «wincom32» в реестре. Функционирование данной компоненты проявляется в виде активного обмена по портам 11271 и 7871 TCP. Драйвер маскируется по руткит-технологии, перехватывая функции:
Функция NtEnumerateKey (47) перехвачена (8056F76A->F5F8D8A6), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F5F8DA32), перехватчик C:\WINDOWS\system32\wincom32.sys
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->F5F8D546), перехватчик C:\WINDOWS\system32\wincom32.sys
>>>> Подозрение на RootKit wincom32 C:\WINDOWS\system32\wincom32.sys
Перехват данных функций позволяет ему замаскировать ключ в реестре и файл на диске. По принципу работы данный драйвер является усовершенствованной разновидностью
Trojan-Downloader.Win32.Small.dam