3DStars — новый интернет-червь

I-Worm.3DStars — интернет-червь, распространяющийся по электронной почте в виде приатаченного EXE-файла. Червь представляет собой исполняемый Win32 файл длиной около 70Kb, написанный на языке VisualBasic. Код червя содержит множество ошибок, и вследствие этого червь не работает так как задумал его автор: файл червя не присоединяется к исходящему сообщению.

Для распространения червь использует MS Outlook: получает адреса из адресных книг MS Outlook и Windows (Windows Address Book) и посылает по ним свои письма. Червь посылает также инфицированное сообщение по адресу vb.master@angelfire.com, каждый раз при запуске своей процедуры распространения.

Письма, рассылаемые червем («Тема» и «Тело»; там, где встречается [%CurrentDate%] — текущая дата):

Hey, now we can talk with this.. 🙂
Hello
I wrote a new messenger, so that we can talk with it.
Install the self extractable zip attached

My movie clips..
Hiii
I got a webcam, and I captured few movie clips of me.
Extract the
attached self extractable, to see them.

A lil naughty stuff..
Hey..
I got few great, erotic movie clips included in the self extractable

I downloaded these MP3s yesterday..
Howdy..
Hey, they r really great.. Extract the selfextractable zip to see them..

Just a little naughty stuff from me..
Hehehe..
See the cake I prepared for you.. bye 4 now buddy..

Virus Warning..
Hey, take care..
Forward this mail to everyone you know. Today, [%CurrentDate%] FBI
announced that a serious virus is spreading. It is a file with a .VBS
extension, much like Love Bug. See the zip for it

A Business Issue..
Sir,
My company is interested in the opportunities of creating a new
partnership with you. The presentation is attached, kindly see it and
reply soon.

Legal Notice..
Sir/Madam
We are forced by our client to forward a legal notice to you dated
[%CurrentDate%]. Kindly see the attached details, and reply as soon as
possible

Greeting Card 4 You..
Greeeeetings..
Hope you are doing fine. See the ECard attached 4 you..

Будучи запущенным червь записывает свои копии в корневую и системную директории Windows под именами SysTray.exe и SysCheck.exe и регистрирует их в системном реестре. В целях маскировки своей активности червь выдает следующее сообщение:

Microsoft Windows
The application %ApplicationName% caused a general protection fault in
module Kernel.exe, and it will be terminated. Press OK to continue
[ OK ]

где %ApplicationName% — имя файла червя.

4-го числа каждого месяца, если червь запущен до 5 утра, он перезаписывает C:AUTOEXEC.BAT троянскую программу, которая стирает все файлы в папке «C:My
Documents» и *.DLL файлы в C:Windows. Этот троянец также показывает сообщение:

Please wait while setup update files. This may take a few minutes..
Now loading Windows..

Помимо этого червь содержит backdoor-компонент, который «открывает» зараженный компьютер для удаленного хакера. Backdoor-процедура позволяет следующее:

• просматривать системные диски, директории и файлы;
• читать, записывать, копировать и удалять файлы;
• модифицировать, создавать и удалять директории;
• читать и модифицировать ключи системного реестра;
• посылать по email письма на определенные адреса;
• запускать выполняемые файлы;
• принудительно закрывать Windows.

Код червя содержит текст «3DStars server», что и послужило причиной для получения им соответствующего имени.