Email-Worm.Win32.Adrenaline

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, заражающий EXE-файлы Windows и распространяющий свои копии по чат-каналам IRC. Червь является приложением Windows, написан на Visual C++
и упакован утилитой компрессии PE EXE-файлов PECompact (упакованный размер — около 35K, распакованный — около 65K).

При запуске вирус заражает EXE-файлы в каталоге Windows. При заражении вирус сдвигает файлы вниз на свою длину и записывает свой код в начало файлов. Для того, чтобы вернуть управление программе-носителю, вирус создает новый файл HOSTFILE.EXE, «лечит» в него файл-носитель, запускает
его на выполнение и затем удаляет. Вирус не заражает файл, если первый символ файла: ‘E’, ‘P’, ‘R’, ‘T’, или ‘W’; или 3-й символ — ‘D’; или 5-й символ — ‘R’.

Вирус также заражает EXE-файлы в каталоге C:MIRCDOWNLOAD, при этом он не обращает внимания на имена файлов.

Для распространения по каналам IRC вирус создает свою копию в системном каталоге Windows (имя копии вируса — BUGFIX.EXE) и записывает в системный файл mIRC-клиента (SCRIPT.INI) процедуру, состоящую всего из одной команды
— посылка файла-вируса BUGFIX.EXE всем пользователям, подключающимся к каналу.

Для описанного выше заражения вирус ищет клиента mIRC в каталогах MIRC и PROGRA~1MIRC на всех дисках от C: до F:.

Затем вирус подключается К почтовой системе MS Outlook и рассылает «спам»-письма (вирус не рассылает свои EXE-копии, а только текстовые письма). При каждом запуске вирус отсылает 15 писем на адрес «Rhape79@ultimatechaos.demon.co.uk». Письма имеют случайно сгенерированный текстовый заголовок и тело письма.