Email-Worm.Win32.Fintas

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 36K, написан на Visual Basic.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При запуске червь инсталлирует себя в систему. При этом он копирует себя:

  1. в каталог Windows, системный каталог Windows и в корень диска C: — под именем `.EXE
  2. в каталог Windows TEMP, в зависимости от версии червя под именем:

    FF8.EXE
    FunnyFlash.EXE

  3. в корневой каталог диска C: под именем FamilyMovie.exe

Файл C:`.EXE затем регистрируется в ключах авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
723 = c:`.exe>

и в файле SYSTEM.INI, в секции [boot], в инструкции «shell».

Рассылка писем

При рассылке зараженных писем червь использует функции и базу адресов MS Outlook.

Тема, Текст и имя Вложения различны в известных версиях червя:


Тема/Текст/Вложение:


Microsoft Shockwave Flash Movie
Check «Family.exe» then you could see Microsoft family’s Shockwave Flash Movie
FamilyMovie.exe

CoolGame From %UserName%
the cool game about Final Fantasy VIII 🙂
FF8.EXE

FunnyFlashMovie From %UserName%
the flash movie,check it !:)
FunnyFlash.EXE

где %UserName% является именем пользователя зараженной машины.

Fintas.a

После рассылки писем этот вариант червя уничтожает файлы в каталоге Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys; затем файлы: C:IO.SYS, C:NETWORK.LOG.

Затем выводит сообщение:

и создает и запускает два скрипт-файла:

C:LEO.VBS — ищет и записывает строку «Hi! I am LEO» в файлы с расширениями: .html .htm .asp .php .dll .com .txt .doc .xls .exe

C:PASSWD.VBS — ищет файлы с паролями (.PWL-файлы) и отсылает их на адрес «leotam888@china.com» с темой «mypasswd».

Проявления — прочие версии червя

По 23-м числам ежемесячно червь активизирует процедуру, которая:

  • добавляет к файлу C:MSDOS.SYS команду, блокирующую прерывание процесса загрузки компьютера
  • записывает в файл C:AUTOEXEC.BAT команды форматирования жесткого диска

(описанные выше действия проявляются только под Win9x).

Затем червь выводит сообщение: