Nově se šířícího červa HLLW.Deadhat můžeme zaznamenat také pod jeho alternativním jménem Vesser. Po spuštění se na napadeném počítači snaží deaktivovat červa Mydoom.A a Mydoom.B. Následně se šíří na další systémy napadené tímto červem.
Červa můžete najít jako soubor sms.exe o velikosti 55 kB v systémovém adresáři Windows.
Pokud na lokálním počítači dojde ke spuštění červa HLLW.Deadhat, provedou se následující operace:
- Červ zobrazí dialogový box s textem "Corrupted File", "Error executing program!".
- Červ sám sebe nakopíruje do adresáře System v adresáři Windows pod jménem sms.exe.
- Do systémového registru přidá položku "KernelFaultChk"="%System%\sms.exe" do klíče HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí automatické spuštění po restartu systému.
- Červ zjistí, zda je na počítači dostupná složka využívaná ke sdílení dat systémem Soulseek file-sharing. Pokud ji najde, nakopíruje se do ní pod jedním z následujících jmen souborů:
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe
Na TCP portu 2766 sleduje příchozí spojení. Pokud se vzdálený klient připojí na tento port a odešle spustitelný kód, červ ho automaticky spustí.
Červ se z důvodů vlastního maskování pokouší ukončit následující procesy, které většinou patří antivirovým programům nebo firewallům:
- _avp
kfp4gui
kfp4ss
zonealarm
Azonealarm
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
apvxdwin
ackwin32
blackice
blackd
dv95
espwatch
esafe
efinet32
ecengine
f-stopw
frw
fp-win
f-prot95
f-prot95
f-prot
fprot
f-agnt95
gibe
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
kpfw32
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
zapro
Pokusí se ukončit následující procesy spojené s červem Mydoom:
document
readme
doc
text
file
data
test
message
body
taskmon
xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
zapSetup_95_693
MS59-56_hotfix
winamp0
NessusScan_pro
attackXP-6.71
Pokusí se deaktivovat červa Mydoom pomocí odebrání následujících záznamů ze systémového registru Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
Prochází síť a hledá počítače nakažené červem Mydoom. Pokouší se spojit na generované IP adresy přes porty 3127, 3128 a 1080. Pokud se mu podaří navázat spojení, zašle svoji kopii, aktivuje ji a tím prakticky na vzdáleném počítači vymění sebe za červa Mydoom.
Červ se dále připojí na IRC server, kde čeká na další instrukce od potenciálního útočníka.
Červ je schopen šíření na systémech Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP a Windows Server 2003.
Jak je vidět z vlastního popisu, cílovými počítači pro útok jsou systémy napadené červem Mydoom - pro šíření je zneužita bezpečnostní díra, kterou tento červ vytváří. Většina nových aktualizačních souborů pro antiviry již v sobě zahrnuje detekční vzorek pro odhalení tohoto červa. A nezapomeňte, že jen antivir nestačí. Také kvalitní firewall by v dnešní době měl být povinnou výbavou stanic připojených do sítě.
Zdroj: Symantec