Через сервер Toad.com распространяется червь Lentin

Через сервер Toad.com, принадлежащий пионеру интернета Джону Гилмору, распространяется вирус I-Worm.Lentin (W32.Yaha@mm). Червь Lentin использует для пересылки своих копий 25 открытых почтовых серверов, в числе которых оказался и Toad.com. Другие серверы располагаются в основном в Китае и Южной Корее.

Джон Гилмор известен как один из основателей Electronic Frontier Foundation, участник создания серии Usenet-телеконференций alt. и создатель рассылки Cypherpunks, посвященной вопросам криптографии. В свое время обслуживающий Гилмора провайдер Verio пригрозил отключить Toad.com от интернета из-за отсутствия на нем защиты от массовых почтовых рассылок. Гилмор, в свою очередь, пригрозил компании судебным иском по обвинению в нарушении свободы слова — по словам интерент-первопроходца, он специально предоставляет свободный доступ к Toad.com с тем, чтобы его друзья и коллеги могли пользоваться электронной почтой в любой точке мира. На сайте Гилмора также говорится, что он предусмотрел средства блокирования пользователей, пытающихся рассылать большое число писем в течение короткого времени. Однако, по мнению аналитика компании Treachery Unlimited Джея Дайсона, эти ограничения легко обходятся. Дайсон также сообщил, что считает Гилмора «старым упрямым дураком» за то что тот оставляет свой почтовый сервер совершенно открытым.

Этот вирус-червь, впервые обнаруженный накануне 14 февраля, распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 21K, (упакован UPX, размер распакованного файла — около 72K), написан на Microsoft Visual C++. Зараженные письма содержат вложение «valentin.scr» (файл-червь), заголовок и текст письма выбирается из двух вариантов:

Заголовок 1:

Melt the Heart of your Valentine with this beautiful Screen saver

Текст 1:
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%EmailAddress%) in the field provided and click «Unsubscribe».
OR…
* Reply to this message with the word «remove» in the subjt line.
This message was sent to address %EmailAddress%
X-PMG-Recipient:

Второй вариант заражённых писем выглядит как пересланный первый вариант:

Заголовок 1:

Fw: Melt the Heart of your Valentine with this beautiful Screen saver

Текст 1: ,br>

Hi
Check this screen saver
Happy Valentines day
See u

—— Original Message ——
From: «Screen Saver»
To: <%EmailAddress%>
Sent: Friday, February 11, 2002 8:38 PM
Subject: Melt the Heart of your Valentine with this beautiful Screen saver
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%EmailAddress%) in the field provided and click «Unsubscribe».
OR…
* Reply to this message with the word «remove» in the subjt line.
This message was sent to address %EmailAddress%
X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

где %EmailAddress% — электронный адрес.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя в каталог C:RECYCLED с именами MSMDM.EXE и MSSCRA.EXE и регистрирует первый файл в ключе авто-запуска системного реестра:

HKCRexefileshellopencommand
c:recycledmsmdm.exe %1 %*

Затем червь выводит несколько строк «Ur My Valentine..» и сллучайно изменяет размер окна «Рабочий Стол».

В некоторых случаях червь также выводит сообщение об ошибке:

Config
No Configuration is availabile Now

Enjoy !!!

Рассылка писем

Червь считывает адреса из адресных баз WAB, MSN, .NET Messenger, а также ищет файлы *.HT, сканирует их и выделяет строки, являющиеся электронными адресами. При этомадреса сохраняются в файлах «screendback.dll» и «www.dll», которые червь создает в каталоге Windows.

При рассылке зараженных писем червь использует прямое подключение к
SMTP-серверу.