マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

Win32.HLLM.Darkprof

Added to the Dr.Web virus database: 2003-10-31

Virus description added:

Description

Win32.HLLM.Darkprof - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP.
Распространяется по электронной почте, используя собственную реализацию протокола SMTP.
На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP.
Размер программного модуля червя упакованного компрессионной утилитой UPX 12832 байта.

Launching

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
\\\"NetWatch32\\\" = \\\"%Windows%\\\\NETWATCH.EXE\\\"
в реестровую запись
HKEY_Local_Machine\\\\Software\\\\Microsoft\\\\Windows\\\\ CurrentVersion\\\\Run

Spreading

Перед началом процедуры саморассылки червь проверяет подключен ли инфицированный компьютер к интернету, пытаясь установить соединение c узлом www.google.com. Если соединение установлено червь начинает массово распространять себя по всем адресам, найденным им на пораженном компьютере и сохраняемым червем в файле eml.tmp в директории Windows. Исключаются из поиска файлы со следующими расширениями:

.avi 
.bmp 
.cab 
.com 
.dll 
.exe 
.gif 
.jpg 
.mp3 
.mpg 
.ocx 
.pdf 
.psd 
.rar 
.tif 
.vxd 
.wav 
.zip 
Червь рассылает почтовые сообщения, используя собственную реализацию протокола SMTP. Почтовое сообщение, инфицированное Win32.HLLM.Darkprof, выглядит следующим образом:
    Отправитель:james@ ------%s, где %s - доменное имя пользователя пораженного компьютера
    Тема сообщения:Re[2]: our private photos %%%, где % - набор символов
    Текст сообщения:
    Hello Dear!, 
    Finally i\\\'ve found possibility to right u, my lovely girl :) 
    All our photos which i\\\'ve made at the beach (even when u\\\'re without ur bh:))
    photos are great! This evening i\\\'ll come and we\\\'ll make the best SEX :) Right now enjoy the photos. Kiss, James. %%%

    где %%%% - набор символов.
    Вложение: PHOTOS.ZIP

Внутри архива находится файл photos.jpg.exe.

Action

Запущенный самим пользователем ZIP архив содержит копию червя NETWATCH.EXE, помещаемую им в директорию Windows. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия червя
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
проводит DoS-атаку на следующий веб-сайты:
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
Червь похищает с компьютера информацию из окон Internet Explorer и отсылает ее, предположительно своему создателю, по адресам:
omnibbb@gmx.net 
drbz@mail15.com 
omnibcd@gmx.net 
kxva@mail15.com 
Похищенные данные червь хранит в создаваемом им в корневой директории диска C:\\\\ файле TMPE.TMP. В последствии этот файл удаляется червем.