Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Avron - nowe wersje już na wolności

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz na udostępnionych dyskach sieciowych, wyposażony w procedurę kradnącą hasła. Szkodnik ma postać pliku PE EXE i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Rozmiar robaka może być różny w zależności od wersji:

  • I-Worm.Avron.a: około 26 KB (po rozpakowaniu około 57),
  • I-Worm.Avron.b: około 34 KB,
  • I-Worm.Avron.c: około 33 KB.

Instalacja

Podczas instalacji robak kopiuje się z losową nazwą (przykładowo 2dadd52doc.exe, ef23h672.exe) do systemowego folderu Windows i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

I-Worm.Avron.a: Mortimer = %nazwa pliku robaka%

I-Worm.Avron.b oraz I-Worm.Avron.c: Avril Lavigne - Muse = %nazwa pliku robaka%

Rozprzestrzenianie - poczta elektroniczna

Robak pobiera adresy "ofiar" z bazy danych WAB oraz z plików DBX, MBX, WAB, HTML, EML, HTM, ASP, SHTML.

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje połączenie z domyślnym serwerem SMTP.

Pole "Od" zainfekowanych wiadomości zawiera prawdziwy adres nadawcy (znaleziony w powyższych plikach) lub losowy adres wybierany spośród następujących możliwości:

  • IIS Exchange Board
  • IREX/ORG
  • RART Team
  • Stimon online
  • Rudolf Ginsberg
  • Avril Lavigne
  • ACTR/Accels general@actr.org

Temat wiadomości jest wybierany spośród następujących możliwości:

  • I-Worm.Avron.a:

    Fw: IREX Fields Description
    Re: ACCELS Awards results for 2003
    Re: Avril Fans will rock you
    Fw: Avril Lavigne - the best
    Re: Antique themes
    Re: ACTR/ACCELS Transcriptions

  • I-Worm.Avron.b:

    Fw: Redirection error notification
    Re: Brigada Ocho Free membership
    Re: According to Purges Statement
    Fw: Avril Lavigne - CHART ATTACK!
    Re: Reply on account for IIS-Security Breach (TFTP)
    Re: ACTR/ACCELS Transcriptions
    Re: IREX admits you to take in FSAU 2003
    Fwd: Re: Have U requested Avril Lavigne bio?
    Re: Reply on account for IFRAME-Security breach
    Fwd: Re: Reply on account for Incorrect MIME-header
    Re: Vote seniors masters - dont miss it!
    Fwd: RFC-0245 Specification requested...
    Fwd: RFC-0841 Specification requested...
    Fw: F. M. Dostoyevsky "Crime and Punishment"
    Re: Junior Achievement
    Re: Ha perduto qualque cosa signora?

  • I-Worm.Avron.c:

    Fw: Prohibited customers...
    Re: Brigade Ocho Free membership
    Re: According to Daos Summit
    Fw: Avril Lavigne - the best
    Re: Reply on account for IIS-Security
    Re: ACTR/ACCELS Transcriptions
    Re: The real estate plunger
    Fwd: Re: Admission procedure
    Re: Reply on account for IFRAME-Security breach
    Fwd: Re: Reply on account for Incorrect MIME-header

Treść wiadomości ma format HTML i jest wybierana spośród następujących możliwości:

  • I-Worm.Avron.a:

    Treść 1:

    EDUCATIONAL PURPOSE
    Avril fans subscription
    I wish you the sweetest thing

    Treść 2:

    Restricted area response team (RART)

    Attachment you sent to %random worm% is really good :-)
    Well done!

    SMTP session error #450: service not ready

    Treść 3:

    >See this in attached files
    >>New PICS of Avril Lavigne!!!
    >>It is honourable when you do it!!!

  • I-Worm.Avron.b:

    Treść 1:

    Network Associates weekly report:
    Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech
    Support:
    Patch :
    Date˙:

    Treść 2:

    Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch

    Treść 3:

    Avril fans subscription
    FanList admits you to take in Avril Lavigne 2003
    Billboard awards ceremony Vote for I'm with you! Admission form attached below

    Treść 4:

    AVRIL LAVIGNE - THE CHART ATTACK!
    Vote fo4r Complicated!
    Vote fo4r Sk8er Boi!
    Vote fo4r I'm with you!
    Chart attack active list:

  • I-Worm.Avron.c:

    Treść 1:

    Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so
    Patch is also provided to subscribed list of MicrosoftŽ Tech Support:

    Treść 2:

    Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch

    Treść 3:

    Avril fans subscription
    FanList admits you to take in Avril Lavigne 2003
    Billboard awards ceremony Vote for I'm with you! Admission form attached below

Nazwa załącznika jest wybierana spośród następujących możliwości:

  • I-Worm.Avron.a:

    Resume.exe
    ACTR_Form.exe
    AvrilFans.exe
    PDF_Desc.exe
    XXX_Teens.exe
    Transcripts.exe
    Readme.exe
    AvrilSmiles.exe

  • I-Worm.Avron.b:

    Resume.exe
    ADialer.exe
    MSO-Patch-0071.exe
    MSO-Patch-0035.exe
    Two-Up-Secretly.exe
    Transcripts.exe
    Readme.exe
    AvrilSmiles.exe
    AvrilLavigne.exe
    Complicated.exe
    TrickerTape.exe
    Sophos.exe
    Cogito_Ergo_Sum.exe
    CERT-Vuln-Info.exe
    Sk8erBoi.exe
    IAmWiThYoU.exe
    Phantom.exe
    EntradoDePer.exe
    SiamoDiTe.exe
    BioData.exe
    ALavigne.exe

  • I-Worm.Avron.c:

    Resume.exe
    Download.exe
    MSO-Patch-0071.exe
    MSO-Patch-0035.exe
    Two-Up-Secretly.exe
    Transcripts.exe
    Readme.exe
    AvrilSmiles.exe
    AvrilLavigne.exe
    Complicated.exe
    Singles.exe
    Sophos.exe
    Cogito_Ergo_Sum.exe
    CERT-Vuln-Info.exe
    Sk8erBoi.exe
    IAmWiThYoU.exe

Podczas rozprzestrzeniania się robak tworzy plik "NewBoot.sys" w folderze tymczasowym.

Szkodnik zapisuje listę zgromadzonych adresów e-mail w pliku "listrecp.dll" znajdującym się w folderze Windows.

W niektórych przypadkach robak wykorzystuje lukę w zabezpieczeniach zwaną "IFRAME", która pozwala na automatyczne uruchomienie załącznika wiadomości e-mail podczas jej przeglądania.

Rozprzestrzenianie - sieć lokalna

Robak kopiuje się z losowymi nazwami do folderów \RECYCLED zapisanych na wszystkich dostępnych dyskach sieciowych. W przypadku braku tego folderu wirus kopiuje się do folderu głównego.

W celu uruchomienia się na atakowanej maszynie, robak dodaje do pliku AUTOEXEC.BAT komendę aktywującą go podczas kolejnego startu systemu operacyjnego.

Rozprzestrzenianie - ICQ oraz IRC

Wersje "b" oraz "c" robaka szukają biblioteki "ICQMapi.dll" i podejmują próby wysłania swoich kopii do odbiorców zapisanych na liście kontaktowej ICQ. Dodatkowo szkodniki tworzą w folderze klienta mIRC plik "script.ini" zawierający skrypt rozsyłający je do wszystkich kanałów, do których przyłącza się użytkownik zainfekowanego komputera.

Rozprzestrzenianie - KaZaA

Wersje "b" oraz "c" robaka kopiują się z losowymi nazwami do współdzielonego folderu systemu KaZaA.

Procedura kradnąca hasła

Procedura ta gromadzi hasła przechowywane w zainfekowanym systemie i wysyła je pod adres otto_psws@pochta.ws, w wiadomości e-mail zatytułowanej "Password Got".

Funkcja dodatkowa

7 i 24 dnia każdego miesiąca robak uruchamia procedurę, która losowo przesuwa kursor na ekranie i otwiera stronę WWW.

Informacje dodatkowe

Robak podejmuje próby wyłączania aktywnych programów antywirusowych oraz zapór ogniowych.

Ponadto szkodnik tworzy w tymczasowym folderze pliki tekstowy (posiadający losową nazwę) i zapisuje w nim następującą sygnaturę autora:

  • I-Worm.Avron.a:

    Author ------> 2002 (c) Otto von Gutenberg
    Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
    Purpose -----> Only Educational
    Virus name --> AVRIL (please do not change it)

    [ATTENTION]
    The author has no response of the damages caused by AVRIL.

    [DESCRIPTION]
    For my lovely Avril Lavigne dedicated.
    She lives in Canada and she's beautiful.
    This is for AV companies:
    Why? Why? Why don't you update your KB (knowledge bases)
    on my serial and yet serious masterpieces?!
    I guess that of AVRIL will get you thought of it.
    NO DESTRUCTIVE ACTION!

    [ACKNOWLEDGEMENT]
    Antoher V0X & Hacker Group from Central Asia
    Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

    Thank you for ideas approach to us!!!
    Bye

  • I-Worm.Avron.b:

    2002 (c) Otto von Gutenberg
    Made in .::]|KaZAkHstaN|[::.
    As stated before, purpose is only educational, however...

    I'm back to the scene with one more gift |Avril-II|
    (remember 'A' version of Avril-II)
    HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
    Avril-II is commonly dangerous because of its over-trojaned issues
    ~Greetz to Brigada Ocho (http://vx.netlux.org/~b8),
    Darkside Project(http://darkside.dtn.ru)
    and Weisses Fleisch Project (http://wf.h1.ru)
    ~Greetz to Rocco (http://primatelost.net)
    Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
    New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
    BackOrifice-server dropper included

    P.S.> How is my work?

    Cheerz, Otto (www.otto-koden.h1.ru)

  • I-Worm.Avron.c:

    2002 (c) Otto von Gutenberg
    Made in .::]|KaZAkHstaN|[::.
    As stated before, purpose is only educational, however...

    I'm back to the scene with one more gift |Avril-II| (remember 'A' version of Avril-II)
    HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
    Avril-II is commonly dangerous because of its over-trojaned issues
    Greetz to Brigada Ocho (http://vx.netlux.org/~b8), Darkside Project (http://darkside.dtn.ru) and Weisses Fleisch Project (http://wf.h1.ru)
    Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
    New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
    BackOrifice-server dropper will be included next time

    Cheerz, Otto (www.otto-koden.h1.ru)



 2003-01-09  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych