Email-Worm.Win32.Apost

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 25K, написан на Visual Basic.

Зараженные письма имеют следующий вид:

Заголовок: As per your request!
Имя вложения: README.EXE
Текст:
Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.

Червь активизируется только если пользователь сам запускает зараженный файл
(при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,
рассылает зараженные письма и последовательно выводит сообщения:

При инсталляции червь копирует себя в каталог Windows с именем README.EXE и
регистрирует этот файл в ключе авто-запуска системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
macrosoft = README.EXE

При распространении по электронной почте червь использует функции MS Outlook
и расылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Червь также копирует себя с тем же именем README.EXE в корневые каталоги всех
доступных дисков.