Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Во вложение зараженного письма червь помещает не свою копию, а HTA-компоненту, которая содержит исполняемый файл червя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ.
Инсталляция

При инсталляции червь копирует себя с именем csrss.exe в корневой каталог Windows:
%Windir%csrss.exe

После чего создает следующие записи в системном реестре:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "Application"="%Windircsrss.exe"
Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
cfg
cgi
dbx
dhtm
dhtml
eml
htm
html
jsp
mbx
mdx
mht
mmf
mra
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

0
2003
2004
2005
2006
---
.0
.00
.1
.2
.3
.4
.5
.6
.7
.8
.9
.gif
.qmail
@avp.
@example.
@foo
@iana
@messagelab
@microsoft
@subscribe
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем

Примеры зараженных писем:

Тема письма:

Выбирается из списка:

* Re: Где пропадаешь?
* Re: Как настроение?
* Re: Когда ты мне ответишь?
* Re: напиши мне
* Re: Позвони мне!
* Re: Ты где?
* Когда мне напишешь?
* Привет! Срочно напиши мне!
* Привет! Я сегодня жду тебя в сети!
* Привет, напиши мне!!!
* Привет, ты где?
* Приветик!!! Как настроение?
* Приветик, как твои делишки?
* Сегодня в интернете будешь?

Текст письма:

Выбирается из списка:

* Как только будешь в интернете напиши мне!!! Кстати программу которую ты просил, я вложил в письмо.... пока!
* Напиши мне в аську, окей? Кстати, держи программку, она теперь работает!
* Покеда!
* Пользуйся, я прикрепил её к письму...
* Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока.....
* Привет!
* Привет! Давно от тебя никаких новостей не слышно что-то... Ты где вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё забывал. Там всё просто, откроешь сразу разберешься. Удачи!!!
* Привет! Ты сегодня мне позвонишь????
* Привет, в интернете появился новый вирус, высылаю тебе заплатку...
* Привет, вот куда ты всё время пропадаешь???
* Приветик, как у тебя дела? Ты сегодня в интернет зайдешь?
* Установи пока ещё твой компьютер не заразился. Пока! Напиши мне!
* Я завтра к тебе приеду, ок? Ты во сколько будешь дома?
* Я уже не могу ждать! Пока думаешь посмотри програмку которую тебе прислала, ну как? Правда здорово?

Имя файла-вложения:

Во вложение зараженного письма червь помещает не свою копию, а полиморфный HTA-компонент, который содержит исполняемый файл червя. После запуска вложенного файла создается файл с именем ntldr.exe в корне диска C: и запускается на исполнение. Созданный файл является копией червя.

Имя файла-вложения выбирается из списка:

* Важно.hta
* Документ.hta
* Новый Документ.hta
* Отчет.hta
* Пароли.hta
* Прикол!!.hta
* ПРОЧТИ!!!.hta
* Сообщение.hta
* Твое.hta

Действия

Червь соединяется со следующими удаленными серверами для загрузки других файлов без ведома пользователя:

http://207.**.250.119
http://84.**.161.192
http://85.249.**.35

Рекомендации по удалению

1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2. Удалите из системного реестра следующие записи:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]
"Debugger"="%Windir%csrss.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Application"="%Windircsrss.exe"
3. Удалите следующие файлы:

%Windir%csrss.exe
C:ntldr.exe

4. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.