用户服务中心

Close

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum

Your tickets

New ticket

Call us

+7 (495) 789-45-86

Profile

CN

RU CN DE EN ES FR IT JP KZ UZ PL BY
Close
服务
扫描仪
Dr.Web vxCube
试用
计算机病毒事件调查
病毒知识库
知识库

技术

术语

教育培训

误区

新闻

Win32.HLLM.Darkprof

Added to the Dr.Web virus database: 2003-10-31

Virus description added:

Description

Win32.HLLM.Darkprof - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP.
Распространяется по электронной почте, используя собственную реализацию протокола SMTP.
На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP.
Размер программного модуля червя упакованного компрессионной утилитой UPX 12832 байта.

Launching

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
\\\"NetWatch32\\\" = \\\"%Windows%\\\\NETWATCH.EXE\\\"
в реестровую запись
HKEY_Local_Machine\\\\Software\\\\Microsoft\\\\Windows\\\\ CurrentVersion\\\\Run

Spreading

Перед началом процедуры саморассылки червь проверяет подключен ли инфицированный компьютер к интернету, пытаясь установить соединение c узлом www.google.com. Если соединение установлено червь начинает массово распространять себя по всем адресам, найденным им на пораженном компьютере и сохраняемым червем в файле eml.tmp в директории Windows. Исключаются из поиска файлы со следующими расширениями: 

.avi 
.bmp 
.cab 
.com 
.dll 
.exe 
.gif 
.jpg 
.mp3 
.mpg 
.ocx 
.pdf 
.psd 
.rar 
.tif 
.vxd 
.wav 
.zip
Червь рассылает почтовые сообщения, используя собственную реализацию протокола SMTP. Почтовое сообщение, инфицированное Win32.HLLM.Darkprof, выглядит следующим образом:
    Отправитель:james@ ------%s, где %s - доменное имя пользователя пораженного компьютера
    Тема сообщения:Re[2]: our private photos %%%, где % - набор символов
    Текст сообщения: 
    Hello Dear!, 
Finally i\\\'ve found possibility to right u, my lovely girl :) 
    
All our photos which i\\\'ve made at the beach (even when u\\\'re without ur bh:))
    
photos are great! This evening i\\\'ll come and we\\\'ll make the best SEX :) 
Right now enjoy the photos. 
Kiss, James. 
%%%

    где %%%% - набор символов.
    Вложение: PHOTOS.ZIP

Внутри архива находится файл photos.jpg.exe.

Action

Запущенный самим пользователем ZIP архив содержит копию червя NETWATCH.EXE, помещаемую им в директорию Windows. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия червя
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
проводит DoS-атаку на следующий веб-сайты: 
darkprofits.net
www.darkprofits.net
darkprofits.com
www.darkprofits.com
Червь похищает с компьютера информацию из окон Internet Explorer и отсылает ее, предположительно своему создателю, по адресам: 
omnibbb@gmx.net 
drbz@mail15.com 
omnibcd@gmx.net 
kxva@mail15.com
Похищенные данные червь хранит в создаваемом им в корневой директории диска C:\\\\ файле TMPE.TMP. В последствии этот файл удаляется червем.
Wechat