Email-Worm.Win32.Galil

Technické údaje

Jedná se o červový virus šířící se přes internet, který je připojen k infikovaným e-mailům. Červ sestává z několika komponent. Všechny jsou soubory Windows PE EXE, napsané v jazyce Visual Basic.

 Hlavní soubor: "iLLeGaL.exe" o velikosti 81 kB
 Rozšiřující složka: "Mplayer.exe", asi 14K (komprimovaný UPX, dekomprimovaný - 37K)
 Ovládání SMTP: "SMTP.ocx", asi 26K (komprimované UPX, dekomprimované - 90K)

Instalace

Při spuštění hlavního souboru červa se nainstaluje sám a jeho součásti do systému. Během instalace červa zkopíruje hlavní soubor do systémového adresáře systému Windows s názvem "iLLegGaL.exe". Ostatní komponenty červa jsou nainstalovány do stejného adresáře. Komponenta "Mplayer.exe" je registrována v klíči automatického spuštění registru systému:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =% SystemDir% Mplayer.exe

Červ potom zobrazí falešnou animaci Flash a zprávu:

 Promiňte !
  Looooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo

Šíření

Červ čte e-maily z adresy MS Outlook a vyhledává e-mailové adresy v souborech .HTM a .HTML. Chcete-li posílat infikované zprávy, používá červ, který má přímé spojení se serverem SMTP.

Infikované zprávy mají:

 Předmět: Fwd: Crazy illegal sex!
 Tělo: náhodně vybráno ze souboru na jednotce C:
 Připojte: "iLLeGal.exe" nebo "illegalSex.zip"

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Červ se pak instaluje do systému, spouští rutinní rozložení a užitečné zatížení.

Užitné zatížení

Červ vytváří nový klíč (čítač) v systémovém registru:

  HKLMiLLeGal

Tento počitadlo se zvyšuje při každém spuštění červa. Když čítač dosáhne '5', červa odstraní všechny soubory na discích D: E: F: G: a zobrazí zprávu:

  ZaCker
   Žádný mír Bez války, nenávidím válku, ale nucen ji milovat, Skrytá moc bude tam kdekoliv