25 czerwca 2002

I-Worm.Lentin (aka Yaha) - wyświetla efekty graficzne

Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 21 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++.

Do zainfekowanych wiadomości załączony jest plik "valentin.scr". Treści i tematy wiadomości mogą się różnić - istnieją dwa warianty:

Temat 1:

Melt the Heart of your Valentine with this beautiful Screen saver

Treść 1:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
****************************************
*******************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %Adres e-mail%
X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Temat 2:

Fw: Melt the Heart of your Valentine with this beautiful Screen saver

Treść 2:

Hi
Check this screen saver
Happy Valentines day
See u

----- Original Message -----
From: "Screen Saver"
To: <%Adres e-mail%>
Sent: Friday, February 11, 2002 8:38 PM
Subject: Melt the Heart of your Valentine with this beautiful Screen saver
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
****************************************
*******************
Melt the Heart of your loved ones with these beautiful Screen saver from
www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %Adres e-mail%
X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

%Adres e-mail% jest adresem użytkownika, który otrzymał zainfekowaną wiadomość.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi załączony do wiadomości plik.

Instalacja

Podczas instalacji robak kopiuje się do katalogu C:\RECYCLED z nazwami MSMDM.EXE oraz MSSCRA.EXE i tworzy dla pierwszej kopii klucz w rejestrze systemowym:

HKCR\exefile\shell\open\command
c:\recycled\msmdm.exe %1 %*

Następnie robak wyświetlaja w losowych miejscach ekranu komputera napis "Ur My Valentine.." i zmienia rozmiar pulpitu Windows.



W niektórych przypadkach wirus wyświetla na ekranie fałszywy komunikat o błędzie:

Config
No Configuration is availabile Now
Enjoy !!!

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP.

Adresy "ofiar" pobierane są z książki adresowej Windows (WAB) oraz z plików HTM(L).

Podczas poszukiwania adresów e-mail robak tworzy dwa pliki w katalogu Windows: "screendback.dll" oraz "www.dll".

Inne wersje robaka

Lentin.g (znany również jako Yaha.e)

Rozmiar pliku robaka to około 27 KB.

Instalacja

Robak kopiuje się z losową nazwą do katalogu C:\Recycler lub C:\Recycled, po czym klucz rejestru odpowiedzialny za uruchamianie plików EXE:

HKCR\exefile\shell\open\command

Dzięki temu robak będzie aktywowany wraz z każdym uruchamianiem dowolnego pliku EXE. Wirus może również modyfikować sekcję auto-run pliku WIN.INI.

Rozprzestrzenianie

Temat zainfekowanej wiadomości wysyłanej przez robaka wybierany jest z poniższej listy (może również zawierać przedrostek "Fw:"):

searching for true Love, you care ur friend, Who is ur Best Friend, make ur friend happy, True Love, Dont wait for long time, Free Screen saver, Friendship Screen saver, Looking for Friendship, Need a friend?, Find a good friend, Best Friends, I am For u, Life for enjoyment, Nothink to worryy, Ur My Best Friend, Say 'I Like You' To ur friend, Easy Way to revel ur love, Wowwwwwwwwwww check it, Send This to everybody u like, Enjoy Romantic life, Let's Dance and forget pains, war Againest Loneliness, How sweet this Screen saver, Let's Laugh, One Way to Love, Learn How To Love, Are you looking for Love, love speaks from the heart, Enjoy friendship, Shake it baby, Shake ur friends, One Hackers Love, Origin of Friendship, The world of lovers, The world of Friendship, Check ur friends Circle, Friendship, how are you, U r the person?, U realy Want this, Romantic, humour, NewWonderfool, excite, Cool, charming, Idiot, Nice, Bullsh*t, One, Funny, Great, LoveGangs, Shaking, powful, Joke, Interesting, Screensaver, Friendship, Love, relations, stuff, to ur friends, to ur lovers, for you, to see, to check, to watch, to enjoy, to share, :-), !, !!

Treść zainfekowanej wiadomości może zawierać następujące teksty:

Check the attachment; See the attachement; Enjoy the attachement; More details attached; Hi Check the Attachement .. See u; Hi Check the Attachement ..; Attached one Gift for u..; wOW CHECK THIS

W dalszej części treści może znajdować się fałszywe komunikaty:

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
%Adres e-mail%

For further assistance, please contact %Adres e-mail%
If you do so, please include this problem report. You can delete your own text from the message returned below.

Copy of your message, including all the headers is attached

Do wiadomości załączony jest plik EML posiadający losową nazwę. Robak wykorzystuje dziurę w zabezpieczeniach zwaną IFRAME, co umożliwia mu uruchamianie się podczas przeglądania wiadomości (w przypadku nieuaktualnionego programu MS Internet Explorer).

Robak może się również rozprzestrzeniać pod postacią wygaszacza ekranu. W takim przypadku treść wiadomości jest następująca:

This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
*******************************************
****************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

*To remove yourself from this mailing list, point your browser to:
< URL>
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address %Adres e-mail%
X-PMG-Recipient: %Adres e-mail%
<>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>>

Do wiadomości załączony jest plik SCR posiadający jedną z poniższych nazw:

screensaver, screensaver4u, screensaver4u, screensaverforu, freescreensaver, love, lovers, lovescr, loverscreensaver, loversgang, loveshore, love4u, lovers, enjoylove, sharelove, shareit, checkfriends, urfriend, friendscircle, friendship, friends, friendscr, friends, friends4u, friendship4u, friendshipbird, friendshipforu, friendsworld, werfriends, passion, bullshitscr, shakeit, shakescr, shakinglove, shakingfriendship, passionup, rishtha, greetings, lovegreetings, friendsgreetings, friendsearch, lovefinder, truefriends, truelovers, f*cker

Robak może się również rozprzestrzeniać pod postacią pliku posiadającego podwójne rozszerzenie oraz jedną z poniższych nazw:

loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, love

Warianty pierwszego rozszerzenia: doc, mp3, xls, wav, txt, jpg, gif, dat, bmp, htm, mpg, mdb, zip.

Warianty drugiego rozszerzenia: pif, bat, scr.

Robak może się rozsyłać w sieci lokalnej. Jeden z jego wątków szuka udostępnionych zasobów oraz następujących katalogów: WINXP, WINME, WIN, WINNT, WIN95, WIN98, WINDOWS.

Jeżeli robak odnajdzie plik WIN.INI, umieszcza na sieciowym dysku swoją kopię o nazwie MSTASKMON.EXE i modyfikuje plik WIN.INI zapewniając sobie uruchomienie podczas kolejnego startu systemu operacyjnego.

Robak kończy działanie procesów posiadających w nazwie jeden z następujących ciągów:

PCCIOMON, PCCMAIN, POP3TRAP, WEBTRAP, AVCONSOL, AVSYNMGR, VSHWIN32, VSSTAT, NAVAPW32, NAVW32, NMAIN, LUALL, LUCOMSERVER, IAMAPP, ATRACK, NISSERV, RESCUE32, SYMPROXYSVC, NISUM, NAVAPSVC, NAVLU32, NAVRUNR, NAVWNT, PVIEW95, F-STOPW, F-PROT95, PCCWIN98, IOMON98, FP-WIN, NVC95, NORTON, MCAFEE, ANTIVIR, WEBSCANX, SAFEWEB, ICMON, CFINET, CFINET32, AVP.EXE, LOCKDOWN2000, AVP32, ZONEALARM, WINK, SIRC32, SCAM32

Funkcje dodatkowe

Gdy robak zostanie uruchomiony z pliku posiadającego rozszerzenie SCR, na ekranie wyświetlany jest efekt graficzny.



Robak tworzy w katalogu Windows plik TXT posiadający losową nazwę i zapisuje w nim następujący tekst:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>