15 listopada 2004

UWAGA! I-Worm.Bofra.a

Jest to robak rozprzestrzeniający się przez Internet za pośrednictwem wiadomości e-mail. Zainfekowany e-mail nie zawiera kopii robaka, lecz wyłącznie odsyłacz do pliku znajdującego się na komputerze, z którego wysłano wiadomość. Plik ten uruchamiany jest na atakowanym komputerze za pośrednictwem luki w zabezpieczeniach przeglądarki Internet Explorer. Robak ma postać pliku PE EXE o rozmiarze około 21 KB (kompresja MEW, rozmiar po rozpakowaniu - około 135 KB). Szkodnik wyposażony jest w procedurę backdoor, która może być kontrolowana za pośrednictwem kanałów IRC.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą (na jej końcu zawsze znajduje się ciąg 32.exe), przykładowo:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe

Następnie szkodnik tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rhino" = "%System%\32.exe"

Rozprzestrzenianie - poczta elektroniczna

Szkodnik pobiera adresy potencjalnych ofiar z książki adresowej systemu MS Windows oraz z plików posiadających następujące rozszerzenia:

ADBH
ASPD
DBXN
HTMB
PHPQ
PL
SHTL
TBBG
TXT
WAB

Zainfekowane wiadomości nie są wysyłane pod adresy zawierające poniższe teksty:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy (wybierany spośród poniższych możliwości):
    adam
    alex
    alice
    andrew
    anna
    bill
    bob
    brenda
    brent
    brian
    claudia
    dan
    dave
    david
    debby
    fred
    george
    helen
    jack
    james
    jane
    jerry
    jim
    jimmy
    joe
    john
    jose
    julie
    kevin
    leo
    linda
    maria
    mary
    matt
    michael
    mike
    peter
    ray
    robert
    sam
    sandra
    serg
    smith
    stan
    steve
    ted
    tom
    

  • Domena nadawcy (pobierana z zainfekowanego komputera lub wybierana z poniższych możliwości):
    aol.com
    hotmail.com
    msn.com
    yahoo.com
    

  • Temat (wybierany z poniższych możliwości):
    funny photos :)
    hello
    hey!
    

  • Treść wiadomości (wybierana z poniższych możliwości):
    FREE ADULT VIDEO! SIGN UP NOW!
    Look at my homepage with my last webcam photos!
    

  • Załącznik - zainfekowane wiadomości nie posiadają żadnego załącznika. Robak umieszcza w treści odsyłacz do zainfekowanego pliku znajdującego się na komputerze, z którego wysyłana jest wiadomość. Odsyłacz ten posiada następującą postać:

    http://(adres IP komputera zawierającego zainfekowany plik):(numer portu)/(nazwa pliku)

    Robak otwiera port TCP o numerze 1639 lub wyższym, co pozwala na pobranie pliku.

  • Podpis wiadomości (wybierany z poniższych możliwości):
    Checked by Dr.Web (http://www.drweb.net)
    Checked for viruses by Gordano's AntiVirus Software
    scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
    

Zdalne zarządzanie

Robak otwiera port TCP 6667 i oczekuje na zdalne polecenia przesyłane za pośrednictwem kanałów IRC.

Inne znane nazwy robaka

W32.Mydoom.AI@mm (Symantec),   Win32.HLLM.MyDoom.4 (Doctor Web),   W32/Bofra-A (Sophos),   Win32/Mydoom.AG@mm (RAV),   WORM_BOFRA.A (Trend Micro),   Worm/MyDoom.AG (H+BEDV),   W32/Mydoom.AJ@mm (FRISK),   Win32:Bofra (ALWIL),   I-Worm/Mydoom.AC (Grisoft),   Win32.Worm.Korgo.1.Gen (SOFTWIN)