A Blackmal.E féreg elektronikus leveleken valamint hálózati megosztásokon keresztül terjed, és a meglehetősen komplex működése miatt nehéz eltávolítani a fertőzött rendszerekről.
A Blackmal.E féreg elsősorban elektronikus leveleken keresztül terjed. A szükséges email címeket a fertőzött számítógépek különböző kiterjesztésű fájljaiból gyűjti össze, amelyekre a saját SMTP komponensének segítségével továbbküldi magát. A féreg alkalmas hálózati megosztásokon való terjedésre is. A Blackmal.E legfőbb feladata, hogy minél jobban meggyengítse a rendszerek védelmét, ezért a biztonsági alkalmazásokat megpróbálja leállítani, illetve azok automatikus indulását is igyekszik megakadályozni.
A Blackmal.E további ismert nevei: WORM_GREW.A [Trend Micro], W32/Nyxem-D [Sophos]
Amikor a Blackmal.E elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\Rundll16.exe
%System%\scanregw.exe
%System%\Winzip.exe
%System%\Update.exe
%System%\WINZIP_TMP.EXE
%System%\SAMPLE.ZIP
%System%\New WinZip File.exe
movies.exe
Zipped Files.exe
2. A Windows System könyvtárába létrehoz egy üres zip állományt.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“ScanRegistry” = “scanregw.exe /scan” értéket.
4. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced
kulcsához hozzáadja a
“WebView” = “0”
“ShowSuperHidden” = “0” értékeket.
5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\CabinetState
kulcsához hozzáadja a
“FullPath” = “0” értéket.
6. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses kulcsát.
7. Kitörli a következő fájlokat, amennyiben azok léteznek
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\BearShare\*.dll
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Alwil Software\Avast4\*.exe
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
8. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect 6\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\10 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Uninstall\Panda Antivirus 6.0 Platinum
kulcsaihoz hozzáadja a
“Home Directory”
“NAV”
“Folder”
“InstallLocation” értékeket.
9. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProd ucts\Kaspersky Anti-Virus Personal
kulcsához hozzáad egy “Folder” nevű kulcsot.
A fenti kulcsokban szereplő könyvtárakból kitörli az exe kiterjesztésű fájlokat.
10. Bezárja azokat az ablakokat, amelyek címsorában az alábbi szövegek szerepelnek:
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
11. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\RunServices
kulcsaiból kitörli azokat a bejegyzéseket, amelyek biztonsági szoftverekhez tartoznak.
12. Különböző kiterjesztésű fájlokból összegyűjti az email címeket. Ezekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny 🙂
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif
13. Megkeresi az elérhető hálózati megosztásokat, és azokra WINZIP_TMP.EXE néven felmásolja magát.