Email-Worm.Win32.Borzella

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 50K написан на Microsoft Visual C++.

Поля в зараженные письмах случайно выбираются из вариантов:

Заголовок:

Storielle..
Leggete urgentemente questa e-mail!! (se avete tempo da perdere)
Divertimento assicurato..

Текст:

Ciao,
guarda l’allegato… ti potrebbe interessare.

Ciao,
devi assolutamente vedere il file che ti ho allegato.

Ciao,
dai un’occhiata all’allegato e ti farai due risate 😉

Имя вложения:

bar.exe
pippo.exe
porkis.exe

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем dllmgr.exe в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Dll Manager = %WinDir%dllmgr.exe

Затем червь выводит несколько сообщений:

6 сентября также выводится сообщение:

Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Адреса, по которым рассылаются письма, считывает из адресной базы WAB.