Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Содержит “бекдор”-процедуры. Червь является приложением Windows (PE EXE-файл), имеет размер около 355K (упакован UPX, размер распакованного файла – около 675K), написан на Delphi. Имя вложения в зараженных письмах случайно выбирается из вариантов:
Текст письма также выбирается из нескольких вариантов:
Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему, запускает процедуры своего распространения и выводит одно из сообщений о якобы
При инсталляции червь создает следующие файлы в каталоге Windows:
Два файла регистрируются в ключах авто-запуска системного реестра:
Червь также создает и запускает файл-“обманку” RASKR.EXE в каталоге “Program FilesCommon Files”. Это невирусная программа-утилита. Червь также создает подкаталоги в каталоге Windows и записывает в них свои временные файлы:
Данная процедура позволяет удалённому “хозяину” управлять зараженным компьютером: сообщать данные о системе, дисках, каталогах и файлах, уничтожать и запускать файлы, отсылать файлы и информацию из системного реестра, а также файлы с паролями (включая WebMoney):
Данная процедура также перехватывает клавиатуру, ведет соответствующий лог-файл и отсылает его “хозяину”. |
Узнай статистику распространения угроз в твоем регионе |