MyParty: чья все-таки вечеринка?

Специалисты ЗАО "ДиалогHаука", старейшего в России разработчика антивирусного программного обеспечения, еще раз напоминают о том, как опасно запускать какие-либо файлы-вложения с непонятными именами, даже если письмо пришло со знакомого вам адреса. Беспокойство возникло не на пустом месте - появился новый интернет-червь MYPARTY. Такое имя вирус получил по тематике вредоносного письма и имени его приложения.

Итак, новый вирус приходит пользователю в виде письма с темой "New photos from my party" ("Hовые фотографии с моей вечеринки") и следующим текстом в теле самого письма:

Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

В приложении при этом находится файл, замаскированный под адрес Web-страницы с именем: WWW.myparty.yahoo.com. Все письмо "весит" около 29 Kb, а "ссылка" в приложении - это на самом деле замаскированный файл. Последнее расширение имени этого файла "com", а значит, в приложении обыкновенный исполняемый файл. Безусловно, письмо рассчитано на то, что увидев набор букв - якобы адрес Web-сайта, пользователь обязательно захочет посмотреть на содержание и таким образом запустит вирус. Судя по тому, с какой скоростью происходит распространение вируса, расчет авторов этого червя оказался верен. Подробное описание функционирования вируса приведено ниже.

Разработчики Doctor Web предприняли соответствующие защитные меры, и в сегодняшнем "горячем" дополнении уже содержатся необходимые для обнаружения и лечения этого вируса процедуры. Мы призываем всех наших пользователей следить за здоровьем своих компьютеров, не забывать регулярно обновлять вирусные базы и принимать витамины каждый день.

---

Win32.HLLW.MyParty

Вирус-червь, представляет собой упакованный модуль, написанный на языке Microsoft Visual C++. Способен к размножению на операционных системах Win9x/Me, но прежде всего ориентирован на операционные системы WinNT/2k/XP. При запуске вирус первым делом проверяет текущую системную дату, и если дата не соответствует диапазону 25-29 января 2002, или же в системе установлена русская клавиатурная раскладка, пытается перенести запущенный вирусный файл в корзину и немедленно завершает свою работу. Если же условия соблюдаются, то вирус проверяет тип операционной системы и в случае, если операционная система WinNT/2k/XP, инсталлирует в систему троянскую программу. Для этого вирус извлекает из собственного тела упакованный программный код и копирует его под именем "msstask.exe" в каталог автозапуска текущего пользователя:

%USERPROFILE%\Startup\Programs\Startup\msstask.exe

Таким образом, данная троянская программа будет запущена при следующем входе пользователя в систему. Данная программа работоспособна только под NT/2k/XP и также проверяет при своем старте, установлена ли в системе русская клавиатурная раскладка и не работает, если она установлена. При запуске, троянец создает в системе еще один пользовательский рабочий стол с именем "SecondDesktop", считывает зашифрованные "управляющие данные", с адреса http://209.151.250.170/wares-xchg.cgi?xxxxxxxxx (где xxxxxxxx - случайное число), расшифровывает их, и в соответствии с ними, производит последовательность действий с запуском на втором, невидимом, десктопе Microsoft Internet Explorer и передачей ему в качестве параметра адресов страниц, указанных в управляющих данных, после чего, опять-таки в соответствии с указаниями в управляющих может "эмулировать" нажатия на клавиши пользователем. Таким образом, инфицированный компьютер может использоваться для "накрутки" счетчика на заданных автором вируса страницах и выполнения произвольных скриптов. Следует отметить, что создание рабочего стола по умолчанию доступно только для пользователей, входящих в группу администратов, таким образом, использованный троянской компонентой механизм "скрытого" запуска Internet Explorer будет работать далеко не всегда.

Далее вирус создает собственную вирусную копию в файле C:\REGCTRL.EXE (для Win9x/Me) или C:\RECYCLED\REGCTRL.EXE (дл WinNT/2k/XP) и запускает ее на выполнение, после чего предыдущая вирусна копия завершает свою работу.

Запущенный вирусный экземпляр немедленно приступает к размножению: вирус получает адрес зарегистрированного в системе SMTP сервера, используемого Outlook, Outlook Express или Internet Mail, получает имя файла Адресной Книги Windows, сканирует его и извлекает e-mail адреса. Далее вирус получает имена DBX-файлов текущего пользователя (почтовые базы Outlook Express) и также извлекает из них e-mail адреса. После этого вирус производит рассылку собственных копий по первым найденным пятистам e-mail адресам c заголовком:

Subject: new photos from my party!

И телом письма

Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

После чего следует тело вируса в формате UUENCODE с именем вложени "www.myparty.yahoo.com".

Кроме того, вирус посылает статистику о собственном размножении (количество найденных e-mail адресов и имя вирусного файла) на e-mail адрес napster@gala.net. Для размножения вирус не использует средства Outlook MAPI, имея собственный SMTP-клиент, инкапсулированный в вирусный код.

В процессе своей работы вирус постоянно пытается перенести файл, из которого он стартовал, в каталог C:\RECYCLED\F-xx-xx-xx-xx или C:\RECYCLER\F-xx-xx-xx-xx, что удается ему только в WinNT/2k/XP, поскольку OS Win9x/Me блокируют переименование запущенных файлов.

Вирус также содержит участок кода, определяющий наличие строки "access" в имени запущенной вирусной копии и, при ее наличии, открывающий непосредственно перед запуском механизма размножения, Web-страницу http://www.disnay.com, но данный код никогда не получает управления из-за фиксированных имен вирусных файлов, заведомо не содержащих вышеуказанную строку.