Email-Worm.Win32.Android

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, родственен вирусу I-Worm_Suppl. Распространяется
через Интернет в виде прикрепленного к письму файла ULTRA.EXE (этот файл
является выполняемым файлом Windows).

Через неделю после заражения компьютера червь уничтожает на локальных и
сетевых дисках файлы с расширениями: ICO, DOC, TXT, HTM, JPG, GIF, ZIP,
RAR. Способ уничтожения файлов аналогичен червю
I-Worm_ZippedFiles, как результат, испорченные файлы
восстановлению не подлежат.

По 5-м числам ежемесячно червь создает на диске файл ANDROID.BMP,
записывает с него картинку с текстом «ANDROID» и регистрирует ее как
«обои» рабочего стола.

Инсталляция

При запуске файла-червя ULTRA.EXE управление получает процедура инсталляции
червя в систему. Она копирует файл червя в системный каталог Windows с
именем ANDROID.DLL (этот файл затем используется как оригинал при рассылке
зараженных сообщений), затем червь создает на диске свою DLL-компоненту с
именем ULTRA.DLL.

Затем червь записывает команды переименования в файл WININIT.INI (эти
команды обрабатываются Windows при очередной перезагрузке). Данные команды
переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя
WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла UNLTA.DLL.
В результате этого при последующей загрузке Windows активизирует и
использует код червя вместо «настоящей» библиотеки.

Размножение

При инициализации DLL-файла червя происходит перехват всех функций сетевой
библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32
передает управление на «настоящую» библиотерку (которая грузится из файла
WSOCK33.DLL), а для функций «send» и «connect» вызывает дополнительно свои
обработчики. Эти обработчики перехватывают сообщения, отправляемые с
компьютера, и добавляют к ним код червя в виде файла ULTRA.EXE.