Email-Worm.Win32.Kiray

Technické údaje

Jedná se o virus červ, který se šíří prostřednictvím Internetu pomocí aplikace Microsoft Outlook. Červ se zobrazí jako e-mail s připojeným souborem Kiray.EXE.

Když je spuštěn soubor EXE, červa upraví některé z klíčů v systémovém registru:

HKCRexefileshellopencommand
"" = "c: windowstempKiray.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop = 1
NoDrives = 1

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
NoNetSetup = 1

To umožňuje spustit rutinu při spuštění libovolného souboru EXE a po restartu systému jsou všechny ikony z plochy a disky "My Computer" skryté.

Pak červa používá MAPI k šíření prostřednictvím e-mailu tím, že vytvoří zprávy všem příjemcům v adresáři aplikace Outlook:

Předmět: Udělejte pokoj, ne válka
Zpráva o těle: hra Lamers a idioty
Připojit: Kiray.exe

Červ se také pokusí zkontrolovat systém Windows Address Book (WAB), který je registrován v registru systému:
HKEY_CURRENT_USERSoftwareMicrosoftWAB

Nakonec se červ pokusí odstranit všechny soubory v následujících adresářích:

c: windows *. * c: windowsssystem *. * c: Program FilesMicrosoft Office *. * c: Program FilesInternet Explorer *. *

Červ je plně funkční pouze v případě, že uživatel uloží přílohu do adresáře C: WINDOWSTEMP. V opačném případě se červ nemůže správně šířit z infikovaného počítače, protože zpráva červu je odeslána bez připojeného exe. soubor.