Il worm si diffonde inviando messaggi di posta elettronica con allegati infetti. L’invio dei messaggi avviene attraverso un proprio motore SMTP (Simple Mail Transfer Protocol). Il worm viene riconosciuto anche con i seguenti nomi
WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi, Blackmal.E
Dettagli tecnici
Quando viene eseguito l’allegato infetto, il worm crea delle copie di se stesso usando uno dei seguenti nomi e percorsi
* %Windir%\Rundll16.exe
* %SysDir%\scanregw.exe
* %SysDir%\Winzip.exe
* % SysDir%\Update.exe
* % SysDir%\WINZIP_TMP.EXE
* % SysDir%\SAMPLE.ZIP
* % SysDir%\New WinZip File.exe
* movies.exe
* Zipped Files.exe
Dove le variabili simboliche %WinDir% e %SysDir% rappresentano rispettivamente il percorso delle cartelle predefinite di Windows e di Sistema.
Inoltre, il worm crea un file ZIP vuoto con lo stesso nome usato per creare i file nella cartella di sistema di Windows.
Per venire eseguito in automatico ad ogni avvio di Windows, il worm crea il valore
"ScanRegistry" = "scanregw.exe /scan"
nella chiave di Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Inoltre, il worm modifica altri valori nel Registro
"WebView" = "0"
" ShowSuperHidden" = "0"
nella chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"FullPath" = "0"
nella chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
Quindi modifica gli elementi trovati sotto la seguente chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses
Il worm cancella anche una serie di file, se presenti sul sistema
* %Programmi%\Alwil Software\Avast4\*.exe
* %Programmi%\BearShare\*.dll
* %Programmi%\DAP\*.dll
* %Programmi%\Grisoft\AVG7\*.dll
* %Programmi%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
* %Programmi%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
* %Programmi%\LimeWire\LimeWire 4.2.6\LimeWire.jar
* %Programmi%\McAfee.com\Agent\*.*
* %Programmi%\McAfee.com\shared\*.*
* %Programmi%\McAfee.com\VSO\*.exe
* %Programmi%\Morpheus\*.dll
* %Programmi%\NavNT\*.exe
* %Programmi%\Norton AntiVirus\*.exe
* %Programmi%\Symantec\Common Files\Symantec Shared\*.*
* %Programmi%\Symantec\LiveUpdate\*.*
* %Programmi%\Trend Micro\Internet Security\*.exe
* %Programmi%\Trend Micro\OfficeScan Client\*.exe
* %Programmi%\TREND MICRO\OfficeScan\*.dll
* %Programmi%\Trend Micro\PC-cillin 2002\*.exe
* %Programmi%\Trend Micro\PC-cillin 2003\*.exe
Il worm consulta il contenuto dei valori
"Home Directory"
" NAV"
" Folder"
" InstallLocation"
all’interno delle seguenti chiavi di Registro
HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
quindi cancella tutti i file .exe trovati nelle cartelle estrapolate dai precedenti valori
Viene letto anche il valore
"Folder"
nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
allo scopo di cancellare tutti i file trovati nella cartelle individuate nei valori di Registro.
Infine, il worm consulta il valore
"Path"
nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
quindi cancella tutti i file *.exe e *.ppl nella cartelle estrapolate dal Registro.
Vengono chiuse tutte le finestre di programmi attivi che contengono nel titolo una delle seguenti stringhe
* FIX
* KASPERSKY
* MCAFEE
* NORTON
* REMOVAL
* SCAN
* SYMANTEC
* TREND MICRO
* VIRUS
Il worm cancella i valori
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAVAgent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TMOutbreakAgent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
VetAlert
VetTray
OfficeScanNTMonitor
avast!
DownloadAccelerator
BearShare
dalle seguenti chiavi di Registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Per trovare gli indirizzi e-mail ai quali inviare dei messaggi infetti, il worm effettua una ricerca all’interno di tutti i file che presentano le seguenti estensioni
.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf
Gli indirizzi vengono ricercati anche all’interno di file che contengono una delle seguenti stringhe nel proprio nome
* CONTENT.
* TEMPORARY
Il worm invia le e-mail infette usando un proprio motore SMTP. Le e-mail presentano le caratteristiche che seguono
Oggetto: uno dei seguenti
* *Hot Movie*
* A Great Video
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny :)
* Fw: Picturs
* Fw: Real show
* Fw: SeX.mpg
* Fw: Sexy
* Fwd: Crazy illegal Sex!
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* Re:
* School girl fantasies gone bad
Messaggio: uno dei seguenti
* Note: forwarded message attached. You Must View This Videoclip!
* >> forwarded message
* Re: Sex Video
* i just any one see my photos.
* It's Free :)
* The Best Videoclip Ever
* Hot XXX Yahoo Groups
* Fuckin Kama Sutra pics
* ready to be FUCKED ;)
* forwarded message attached.
* VIDEOS! FREE! (US$ 0,00)
* What?
* i send the file.
* Helloi attached the details.
* Thank you
* the file i send the details
* hello,
* Please see the file.
* how are you?
* i send the details.
Allegato: un nome scelto nella seguente lista
* 007.pif
* 392315089702606E-02,.scR
* 677.pif
* Adults_9,zip.sCR
* Arab sex DSC-00465.jpg
* ATT01.zip.sCR
* Attachments[001],B64.sCr
* Clipe,zip.sCr
* document.pif
* DSC-00465.Pif
* DSC-00465.pIf
* eBook.pdf
* eBook.PIF
* image04.pif
* New Video,zip
* New_Document_file.pif
* photo.pif
* Photos,zip.sCR
* School.pif
* SeX,zip.scR
* Sex.mim
* Video_part.mim
* WinZip,zip.scR
* WinZip.BHX
* WinZip.zip.sCR
* Word XP.zip.sCR
* Word.zip.sCR
* 04.pif
* DSC-00465.Pif
* DSC-00465.pIf
* image04.pif
Gli allegati possono essere dei file eseguibili o un file codificato MIME (Multipurpose Internet Mail Extension) che al suo interno contiene un file eseguibile. Gli allegati con formato MIME possono avere i seguenti nomi:
* 3.92315089702606E02.UUE
* Attachments[001].B64
* Attachments00.HQX
* Attachments001.BHX
* eBook.Uu
* Original Message.B64
* Sex.mim
* SeX.mim
* Video_part.mim
* WinZip.BHX
* Word_Document.hqx
* Word_Document.uu
I nomi dei file vengono anche creati usano una speciale combinazione, che impiega i seguenti nomi
* 392315089702606E-02
* Clipe
* Miss
* Photos
* Sweet_09
combinati con estensioni selezionate nella lista che segue
* .b64
* .BHx
* .HQX
* .mim
* .uu
* .UUE
* .XxE
Se l’allegato e in formato MIME, contiene un file eseguibile con un nome scelto nel seguente elenco
* 392315089702606E-02,UUE[BLANK SPACES].scr
* Adults_9,zip[BLANK SPACES].scr
* ATT01.zip[BLANK SPACES].scr
* Atta[001],zip[BLANK SPACES].scr
* Attachments,zip[BLANK SPACES].scr
* Attachments[001],B64[BLANK SPACES].scr
* Clipe,zip[BLANK SPACES].scr
* New Video,zip[BLANK SPACES].scr
* Photos,zip[BLANK SPACES].scr
* SeX,zip[BLANK SPACES].scr
* WinZip,zip[BLANK SPACES].scr
* WinZip.zip[BLANK SPACES].scr
* Word XP.zip[BLANK SPACES].scr
* Word.zip[BLANK SPACES].scr
Il worm tenta di diffondersi anche nelle cartelle di rete condivise in una LAN, cercando cartelle con i seguenti nomi, dove tentera di copiare se stesso usando il nome WINZIP_TMP.EXE:
* ADMIN$
* C$
Vengono attaccate anche le condivisioni protette con password deboli, dove il worm prova a copiare se stesso usando lo stesso nome menzionato sopra.
Il worm tenta di accedere a un indirizzo Internet che corrisponde a un programma CGI (Common Gateway Interface) presente su un sito web.
Payload
Il worm contiene un payload (effetto distruttivo per i dati) pericoloso. Se la data del sistema corrisponde al terzo giorno del mese (3 febbraio, 3 marzo, ecc.) e viene eseguito il file del worm con nome UPDATE.EXE, quest'ultimo sovrascrive il contenuto di tutti i file con le estensioni incluse nella seguente lista presenti su tutti i drive del computer
*.doc *.xls *.mdb *.mde *.ppt *.pps *.zip *.rar *.pdf *.psd *.dmp
Il contenuto dei file viene sostituito con la stringa di testo "DATA Error [47 0F 94 93 F4 K5]". Il payload viene attivato circa 30 minuti dopo che il file UPDATE.EXE e stato eseguito sul computer infetto, ovvero circa mezz'ora dopo che e stata effettuata la procedura di login al sistema.
programma di rimozione gratuito http://space.gdata.de/dl_avk/remover/remover.exe