Email-Worm.Win32.Aliz

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 4K, написан на ассемблере. Основная процедура червя упакована
встроенным в его тело упаковщиком данных aPLib. Распакованный код вируса занимает около 6K.Б

Зараженные письма содержат:


Заголовок: различный (см. ниже)
Текст: пустое HTML-письмо
Имя вложения: whatever.exe

Заголовок письма случайно строится из пяти комбинаций (str1 + str2 + … + str5):

 str1
 ----

 Fw:
 Fw: Re:

затем:

 str2            str3          str4            str5
 ----            ----          ----            ----

 Cool            website       to check        !!      
 Nice            site          for you         !       
 Hot             pics          i found         :-)     
 some            urls          to see          ?!      
 Funny           pictures      here            hehe ;-)
 weird           stuff         - check it              
 funky           mp3s                                
 great           shit                                
 Interesting     music                               
 many            info                                

Для запуска себя из зараженных писем червь использует брешь в системе безопасности почтового клиента (IFRAME, см. «Nimda»). При этом зараженное
вложение активизируется без участия пользователя — при чтении или предварительном просмотре сообщения.

При активизации червя он распаковывает свой основной код и передает на него управление. Оновной код червя затем считывает адреса получателей зараженных
писем из файла WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма и на этом заканчивает свою
работу.

Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т.е.
является червем «однократного» действия.

Червь никак не проявляет своего присутствия в системе.

Процедура отсылки зараженных писем содержит неточности, в результате чего червь оказывается неработоспособным на большинстве конфигураций почтовых клиентов и серверов.

Наиболее интересной особенностью червя является его размер. Процедуры поиска жертв и отсылки писем занимают всего около 3K, включая текст в коде червя:

 :::iworm.alizee.by.mar00n!ikx2oo1:::
 while typing this text i realize this text got added on many av
 description sites, because this silly worm could be easily a
 hype. i wonder which av claims '[companyname] stopped high risk
 worm before it could escape!' or shit like that. heh, or they
 boycot my virus because of this text. well, it is easy enough
 for the poor av's to add this worm; since it was only released
 as source in coderz#2... btw, loveletter*2 power in pure win32asm
 and only a 4k exe file. heh, vbs kiddies, phear win32asm. :)

 thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
 t-2000!ir, ultras!mtx & sweet gigabyte...
 btw,burgemeester van sneek: ik zoek nog een baantje...
 (alignmentfillingtext)