Email-Worm.Win32.Epon

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде прикрепленных к зараженным письмам файлов, IRC-каналы и сети файлообмена. Червь является приложением Windows (PE EXE-файл), имеет размер около 25KB, написан на Visual С++. Упакован UPX (размер распакованного файла около 60KB).

Инсталляция

При запуске червь копирует себя с именем «krnl32.exe» в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "Kernel32" = "%windir%%systemkrnl32.exe"

и выводит на экран сообщение с текстом:

Epyon
Some lessons can only be learned by risking one’s life.

Размножение через E-mail

Для рассылки писем использует VBS скрипт «epyon.vbs» который создается в каталоге Windows. Из-за ошибки в коде функция размножения через E-mail неработоспособна.

Размножение через IRC

Если червь обнаруживает на компьютере установленный клиент mIRC, он заменяет оригинальный файл «script.ini» на свой собственный. Файл-скрипт «script.ini» затем отсылает зараженный файл «mIRC Update.exe» всем, кто подключается к зараженному IRC-каналу.

Размножение через P2P

Червь создает скрытый подкаталог Epyon в системном каталоге Windows, куда копирует себя с различными именами. Данный каталог прописывается в системном реестре Windows как Local Content систем файлообмена Kazaa, iMesh, Morheus, eDonkey2000.