Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.Padowor.a

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 73 KB (kompresja ASPack, rozmiar po rozpakowaniu - około 98 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą, przykładowo Ddlnohkp.exe.

Szkodnik tworzy także w folderze \Windows\System plik MSDevBase.dat i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Dodatkowo szkodnik tworzy w folderze \Windows\System plik o DLL losowej nazwie, przykładowo Pfckhdcm.dll. Jest to backdoor wykrywany przez oprogramowanie Kasepersky Anti-Virus jako Backdoor.Win32.Padodor.gen.

Następnie robak rejestruje własne pliki:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    ".Net Framework" = "{ 3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}"
  • [HKLM\Software\Classes\CLSID\{ 3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}\InProcServer32]
    (Default) = "%System%\>losowa nazwa<.dll"
  • [HKCR\CLSID\{ 3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}\InProcServer32]
    (Default) = "%System%\>losowa nazwa<.dll"

Szkodnik tworzy także unikatowy identyfikator MS.NETFmwk1.1 w celu oznaczenia zainfekowanego systemu.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej.

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    cyber porno art 
    His photo. 
    My username descriptions. 
    My West Coast Bank registration data disabled. 
    Take update of credit access program. 
    Their image. 
    Update your credit client program. 
    
  • Treść (wybierana z poniższych możliwości):
    Greetings, do you remember you spoke something 
    about their image in a naked kind?
    I have found a little bit, i don`t know it is 
    pleasant to you whether or not but i have decided 
    to give to see it to you magic word:...
    As you will decide to have a rest with me, call.
    winxp. 
    
    Hello, my name is :.., i am from branch of State 
    Central Bank. Too hour ago my manager, has asked 
    me to notify you about that our firm has released 
    the new version of credit client program, 
    unfortunately to send the program from work i 
    have not had time therefore i send file from home. 
    Information about account program inside package.	
    Don`t forget unlock pass is Amo:...
    I am sorry. 
    
    Dear Jack, you ask me about our registration 
    reports and i send it to you Also i found some 
    interesting info about our budget usage, if 
    you have free minute please familiarize with 
    this report. You should remember this personal 
    information only for you, access code is ::::. 
    Your data i package file. 
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    ###adult 
    ##-photo 
    #HardArt 
    #MyPhoto 
    #Sex.jpg 
    Applic-# 
    Art-#### 
    AssFuck# 
    Blondes# 
    Blowjobs 
    CKeeper# 
    Credit## 
    details# 
    Dildos## 
    Fucking# 
    Girls-## 
    HardCor# 
    Image-## 
    Image### 
    Inf-#### 
    Inf4You# 
    InfNo### 
    info-### 
    ItsMe-## 
    Keeper## 
    Lesbian# 
    Me-##### 
    MKeep### 
    MKp##Upd 
    MoneyKe# 
    MyImage# 
    MyPhoto# 
    NudeGirl 
    NWUpdate 
    Orgy#### 
    Photo### 
    PInform# 
    Porn-### 
    Porno-## 
    PornStar 
    Program# 
    Pussy### 
    Rep-#### 
    report## 
    Sadomaso 
    SecRep## 
    SInfo### 
    SoftCor# 
    Teens-## 
    Update## 
    vibrator 
    Xxx#.jpg 
    YouAndI# 
    Your-### 
    YourRep#
    

    Znak # zastępowany jest losowym numerem.

  • Rozszerzenie załącznika (wybierane z poniższych możliwości):
    .exe 
    .pif 
    .scr 
    .zip 
    

Zdalne zarządzanie

Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na przejęcie kontroli nad zainfekowanym komputerem.

Funkcja dodatkowa

Robak przeprowadza ataki DoS na następujące serwisy WWW:

http://50sbrotherhood.com/ikAARBbH 
http://anypets.com/sotNuSLd 
http://bcn4life.com/KMjvnkAc 
http://beeslender.com/LzKDMFVx 
http://cambodiaclassic.com/tAnwLRRp 
http://divasonic.com/zDcdWXDA 
http://fresh895fm.com/JnaCMJGA 
http://galeriass.com/mRDxxkyz 
http://hpbyggematrialer.dk/jEoESVah 
http://hydrocut.com/KzfDvbjk 
http://linux-bulgaria.org/ZPImndAd 
http://opticalinstrument.com.cn/OfRRnhYY 
http://organicbabe.com.au/QoGJQIZV 
http://pbwga.com/KJvaslsl 
http://piraten.dk/BGAiQOtB 
http://pitzmedia.com/AGgRBzQd 
http://poemas-de-amor.org/sQAAXWrE 
http://praha-mesto.cz/VeTBmiUj 
http://sakichan.ho8.com/KDCvKLFh 
http://smirkingchimp.com/lldLmfSD 
http://snodgers.com/zmvIKkla 
http://synodcathedral.org/KVrxusoL 
http://therefrisky.com/kjnvaPPa 
http://usdacrc.com/gGVrsjlh 
http://wildrice.com/kdmvflkz 
http://wolfscreek.com/lOnFQYoO 
http://www.asis.com/LMlakmvb 
http://www.cashetta.com/LlksvIJH 
http://www.divasonic.com/zDcdWXDA 
http://www.lysbordet.com/OJJAtUEo 
http://www.pitzmedia.com/AGgRBzQd 

Dodatkowo szkodnik podejmuje próby zamykania procesów, których nazwy zawierają następujące teksty:

Detector de OfficeScanNT 
McAfee Framework Service 
Norton Antivirus Service 
Panda Antivirus 
sharedaccess 
ZoneAlarm 

W kodzie szkodnika zapisany jest następujący tekst:

From alqaeda with love
<alias> W32.Inforyou.A@mm (Symantec),   Win32.HLLM.Pawur (Doctor Web),   W32/Inforyou-A (Sophos),   WORM_INFORYOU.A (Trend Micro),   Worm/Padowor.A (H+BEDV),   W32/Padowor.A (FRISK),   I-Worm/Padowor.A (Grisoft),   Win32.Padowor.A@mm (SOFTWIN),   Worm.Padowor.A (ClamAV),   W32/Inforyou.A.worm (Panda),   Win32/Padowor.A (Eset) </alias>