Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Содержит «бекдор»-процедуры. Червь является приложением Windows (PE EXE-файл), имеет размер около 355K (упакован UPX, размер распакованного файла — около 675K), написан на Delphi. Имя вложения в зараженных письмах случайно выбирается из вариантов:
Текст письма также выбирается из нескольких вариантов:
Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему, запускает процедуры своего распространения и выводит одно из сообщений о якобы
При инсталляции червь создает следующие файлы в каталоге Windows:
Два файла регистрируются в ключах авто-запуска системного реестра:
Червь также создает и запускает файл-«обманку» RASKR.EXE в каталоге «Program FilesCommon Files». Это невирусная программа-утилита. Червь также создает подкаталоги в каталоге Windows и записывает в них свои временные файлы:
Данная процедура позволяет удалённому «хозяину» управлять зараженным компьютером: сообщать данные о системе, дисках, каталогах и файлах, уничтожать и запускать файлы, отсылать файлы и информацию из системного реестра, а также файлы с паролями (включая WebMoney):
Данная процедура также перехватывает клавиатуру, ведет соответствующий лог-файл и отсылает его «хозяину». |