Email-Worm.Win32.Lentin

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez Internet jako za艂膮cznik wiadomo艣ci e-mail. Wirus ma posta膰 pliku PE EXE o rozmiarze oko艂o 21 KB i zosta艂 stworzony przy pomocy 艣rodowiska programistycznego Microsoft Visual C++. Znany jest r贸wnie偶 jako Yaha.

Do zainfekowanych wiadomo艣ci za艂膮czony jest plik "valentin.scr". Tre艣ci i tematy wiadomo艣ci mog膮 si臋 r贸偶ni膰 - istniej膮 dwa warianty:

Temat 1:

Melt the Heart of your Valentine with this beautiful Screen saver

Tre艣膰 1:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
****************************************
*******************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %Adres e-mail%
X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Temat 2:

Fw: Melt the Heart of your Valentine with this beautiful Screen saver

Tre艣膰 2:

Hi
Check this screen saver
Happy Valentines day
See u

----- Original Message -----
From: "Screen Saver"
To: <%Adres e-mail%>
Sent: Friday, February 11, 2002 8:38 PM
Subject: Melt the Heart of your Valentine with this beautiful Screen saver
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
****************************************
*******************
Melt the Heart of your loved ones with these beautiful Screen saver from
www.screensaverin.com
* To remove yourself from this mailing list, point your browser to:
http://screensaverin.com/remove?freescreensaver
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %Adres e-mail%
X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

%Adres e-mail% jest adresem u偶ytkownika, kt贸ry otrzyma艂 zainfekowan膮 wiadomo艣膰.

Robak aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi za艂膮czony do wiadomo艣ci plik.

Instalacja

Podczas instalacji robak kopiuje si臋 do katalogu C:RECYCLED z nazwami MSMDM.EXE oraz MSSCRA.EXE i tworzy dla pierwszej kopii klucz auto-run w rejestrze systemowym:

HKCRexefileshellopencommand
c: ecycledmsmdm.exe %1 %*

Nast臋pnie robak wy艣wietlaja w losowych miejscach ekranu komputera napis "Ur My Valentine.." i zmienia rozmiar pulpitu Windows. lentin1.jpg

W niekt贸rych przypadkach wirus wy艣wietla na ekranie fa艂szywy komunikat o b艂臋dzie:

Config
No Configuration is availabile Now
Enjoy !!!

Rozprzestrzenianie

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje bezpo艣rednie po艂膮czenie z serwerem SMTP.

Adresy "ofiar" pobierane s膮 z ksi膮偶ki adresowej Windows (WAB) oraz z plik贸w HTM(L).

Podczas poszukiwania adres贸w e-mail robak tworzy dwa pliki w katalogu Windows: "screendback.dll" oraz "www.dll".

Inne wersje robaka

Lentin.g (znany r贸wnie偶 jako Yaha.e)

Rozmiar pliku robaka to oko艂o 27 KB.

Instalacja

Robak kopiuje si臋 z losow膮 nazw膮 do katalogu C:Recycler lub C:Recycled, po czym klucz rejestru odpowiedzialny za uruchamianie plik贸w EXE:

HKCUexefileshellopencommand

Dzi臋ki temu robak b臋dzie aktywowany wraz z ka偶dym uruchamianiem dowolnego pliku EXE. Wirus mo偶e r贸wnie偶 modyfikowa膰 sekcj臋 auto-run pliku WIN.INI.

Rozprzestrzenianie

Temat zainfekowanej wiadomo艣ci wysy艂anej przez robaka wybierany jest z poni偶szej listy (mo偶e r贸wnie偶 zawiera膰 przedrostek "Fw:"):

searching for true Love, you care ur friend, Who is ur Best Friend, make ur friend happy, True Love, Dont wait for long time, Free Screen saver, Friendship Screen saver, Looking for Friendship, Need a friend?, Find a good friend, Best Friends, I am For u, Life for enjoyment, Nothink to worryy, Ur My Best Friend, Say 'I Like You' To ur friend, Easy Way to revel ur love, Wowwwwwwwwwww check it, Send This to everybody u like, Enjoy Romantic life, Let's Dance and forget pains, war Againest Loneliness, How sweet this Screen saver, Let's Laugh, One Way to Love, Learn How To Love, Are you looking for Love, love speaks from the heart, Enjoy friendship, Shake it baby, Shake ur friends, One Hackers Love, Origin of Friendship, The world of lovers, The world of Friendship, Check ur friends Circle, Friendship, how are you, U r the person?, U realy Want this, Romantic, humour, NewWonderfool, excite, Cool, charming, Idiot, Nice, Bullsh*t, One, Funny, Great, LoveGangs, Shaking, powful, Joke, Interesting, Screensaver, Friendship, Love, relations, stuff, to ur friends, to ur lovers, for you, to see, to check, to watch, to enjoy, to share, :-), !, !!

Tre艣膰 zainfekowanej wiadomo艣ci mo偶e zawiera膰 nast臋puj膮ce teksty:

Check the attachment; See the attachement; Enjoy the attachement; More details attached; Hi Check the Attachement .. See u; Hi Check the Attachement ..; Attached one Gift for u..; wOW CHECK THIS

W dalszej cz臋艣ci tre艣ci mo偶e znajdowa膰 si臋 fa艂szywe komunikaty:

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
%Adres e-mail%

For further assistance, please contact %Adres e-mail%
If you do so, please include this problem report. You can delete your own text from the message returned below.

Copy of your message, including all the headers is attached

Do wiadomo艣ci za艂膮czony jest plik EML posiadaj膮cy losow膮 nazw臋. Robak wykorzystuje dziur臋 w zabezpieczeniach zwan膮 IFRAME, co umo偶liwia mu uruchamianie si臋 podczas przegl膮dania wiadomo艣ci (w przypadku nieuaktualnionego programu MS Internet Explorer).

Robak mo偶e si臋 r贸wnie偶 rozprzestrzenia膰 pod postaci膮 wygaszacza ekranu. W takim przypadku tre艣膰 wiadomo艣ci jest nast臋puj膮ca:

This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
*******************************************
****************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

*To remove yourself from this mailing list, point your browser to:
< URL>
* Enter your email address (%Adres e-mail%) in the field provided and click "Unsubscribe".
* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address %Adres e-mail%
X-PMG-Recipient: %Adres e-mail%
<>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>> <>>>

Do wiadomo艣ci za艂膮czony jest plik SCR posiadaj膮cy jedn膮 z poni偶szych nazw:

screensaver, screensaver4u, screensaver4u, screensaverforu, freescreensaver, love, lovers, lovescr, loverscreensaver, loversgang, loveshore, love4u, lovers, enjoylove, sharelove, shareit, checkfriends, urfriend, friendscircle, friendship, friends, friendscr, friends, friends4u, friendship4u, friendshipbird, friendshipforu, friendsworld, werfriends, passion, bullshitscr, shakeit, shakescr, shakinglove, shakingfriendship, passionup, rishtha, greetings, lovegreetings, friendsgreetings, friendsearch, lovefinder, truefriends, truelovers, f*cker

Robak mo偶e si臋 r贸wnie偶 rozprzestrzenia膰 pod postaci膮 pliku posiadaj膮cego podw贸jne rozszerzenie oraz jedn膮 z poni偶szych nazw:

loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, love

Warianty pierwszego rozszerzenia: doc, mp3, xls, wav, txt, jpg, gif, dat, bmp, htm, mpg, mdb, zip.

Warianty drugiego rozszerzenia: pif, bat, scr.

Robak mo偶e si臋 rozsy艂a膰 w sieci lokalnej. Jeden z jego w膮tk贸w szuka udost臋pnionych zasob贸w oraz nast臋puj膮cych katalog贸w: WINXP, WINME, WIN, WINNT, WIN95, WIN98, WINDOWS.

Je偶eli robak odnajdzie plik WIN.INI, umieszcza na sieciowym dysku swoj膮 kopi臋 o nazwie MSTASKMON.EXE i modyfikuje plik WIN.INI zapewniaj膮c sobie uruchomienie podczas kolejnego startu systemu operacyjnego.

Robak ko艅czy dzia艂anie proces贸w posiadaj膮cych w nazwie jeden z nast臋puj膮cych ci膮g贸w:

PCCIOMON, PCCMAIN, POP3TRAP, WEBTRAP, AVCONSOL, AVSYNMGR, VSHWIN32, VSSTAT, NAVAPW32, NAVW32, NMAIN, LUALL, LUCOMSERVER, IAMAPP, ATRACK, NISSERV, RESCUE32, SYMPROXYSVC, NISUM, NAVAPSVC, NAVLU32, NAVRUNR, NAVWNT, PVIEW95, F-STOPW, F-PROT95, PCCWIN98, IOMON98, FP-WIN, NVC95, NORTON, MCAFEE, ANTIVIR, WEBSCANX, SAFEWEB, ICMON, CFINET, CFINET32, AVP.EXE, LOCKDOWN2000, AVP32, ZONEALARM, WINK, SIRC32, SCAM32

Funkcje dodatkowe

Gdy robak zostanie uruchomiony z pliku posiadaj膮cego rozszerzenie SCR, na ekranie wy艣wietlany jest efekt graficzny. lentin2.jpg

Robak tworzy w katalogu Windows plik TXT posiadaj膮cy losow膮 nazw臋 i zapisuje w nim nast臋puj膮cy tekst:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>