Email-Worm.Win32.Epon

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде прикрепленных к зараженным письмам файлов, IRC-каналы и сети файлообмена. Червь является приложением Windows (PE EXE-файл), имеет размер около 25KB, написан на Visual С++. Упакован UPX (размер распакованного файла около 60KB).

Инсталляция

При запуске червь копирует себя с именем “krnl32.exe” в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "Kernel32" = "%windir%%systemkrnl32.exe"

и выводит на экран сообщение с текстом:

Epyon
Some lessons can only be learned by risking one’s life.

Размножение через E-mail

Для рассылки писем использует VBS скрипт “epyon.vbs” который создается в каталоге Windows. Из-за ошибки в коде функция размножения через E-mail неработоспособна.

Размножение через IRC

Если червь обнаруживает на компьютере установленный клиент mIRC, он заменяет оригинальный файл “script.ini” на свой собственный. Файл-скрипт “script.ini” затем отсылает зараженный файл “mIRC Update.exe” всем, кто подключается к зараженному IRC-каналу.

Размножение через P2P

Червь создает скрытый подкаталог Epyon в системном каталоге Windows, куда копирует себя с различными именами. Данный каталог прописывается в системном реестре Windows как Local Content систем файлообмена Kazaa, iMesh, Morheus, eDonkey2000.

Узнай статистику распространения угроз в твоем регионе