Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 36K, написан на Visual Basic.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При запуске червь инсталлирует себя в систему. При этом он копирует себя:

в каталог Windows, системный каталог Windows и в корень диска C: — под именем `.EXE
в каталог Windows TEMP, в зависимости от версии червя под именем:

FF8.EXE
FunnyFlash.EXE
в корневой каталог диска C: под именем FamilyMovie.exe

Файл C:`.EXE затем регистрируется в ключах авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
723 = c:`.exe>

и в файле SYSTEM.INI, в секции [boot], в инструкции «shell».

Рассылка писем

При рассылке зараженных писем червь использует функции и базу адресов MS Outlook.

Тема, Текст и имя Вложения различны в известных версиях червя:

Тема/Текст/Вложение:

Microsoft Shockwave Flash Movie
Check «Family.exe» then you could see Microsoft family’s Shockwave Flash Movie
FamilyMovie.exe

CoolGame From %UserName%
the cool game about Final Fantasy VIII 🙂
FF8.EXE

FunnyFlashMovie From %UserName%
the flash movie,check it !:)
FunnyFlash.EXE

где %UserName% является именем пользователя зараженной машины.

Fintas.a

После рассылки писем этот вариант червя уничтожает файлы в каталоге Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys; затем файлы: C:IO.SYS, C:NETWORK.LOG.

Затем выводит сообщение:

и создает и запускает два скрипт-файла:

C:LEO.VBS — ищет и записывает строку «Hi! I am LEO» в файлы с расширениями: .html .htm .asp .php .dll .com .txt .doc .xls .exe

C:PASSWD.VBS — ищет файлы с паролями (.PWL-файлы) и отсылает их на адрес «leotam888@china.com» с темой «mypasswd».

Проявления — прочие версии червя

По 23-м числам ежемесячно червь активизирует процедуру, которая:

добавляет к файлу C:MSDOS.SYS команду, блокирующую прерывание процесса загрузки компьютера
записывает в файл C:AUTOEXEC.BAT команды форматирования жесткого диска

(описанные выше действия проявляются только под Win9x).

Затем червь выводит сообщение:

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 36K, написан на Visual Basic. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Инсталляция При запуске червь инсталлирует себя в систему. При этом он копирует себя: в каталог Windows, системный каталог Windows и в корень диска C: — под именем `.EXE в каталог Windows TEMP, в зависимости от версии червя под именем: FF8.EXE FunnyFlash.EXE в корневой каталог диска C: под именем FamilyMovie.exe Файл C:`.EXE затем регистрируется в ключах авто-запуска системного реестра: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c:`.exe> и в файле SYSTEM.INI, в секции [boot], в инструкции «shell». Рассылка писем При рассылке зараженных писем червь использует функции и базу адресов MS Outlook. Тема, Текст и имя Вложения различны в известных версиях червя: Тема/Текст/Вложение: Microsoft Shockwave Flash Movie Check «Family.exe» then you could see Microsoft family’s Shockwave Flash Movie FamilyMovie.exe CoolGame From %UserName% the cool game about Final Fantasy VIII 🙂 FF8.EXE FunnyFlashMovie From %UserName% the flash movie,check it !:) FunnyFlash.EXE где %UserName% является именем пользователя зараженной машины. Fintas.a После рассылки писем этот вариант червя уничтожает файлы в каталоге Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys; затем файлы: C:IO.SYS, C:NETWORK.LOG. Затем выводит сообщение: и создает и запускает два скрипт-файла: C:LEO.VBS — ищет и записывает строку «Hi! I am LEO» в файлы с расширениями: .html .htm .asp .php .dll .com .txt .doc .xls .exe C:PASSWD.VBS — ищет файлы с паролями (.PWL-файлы) и отсылает их на адрес «leotam888@china.com» с темой «mypasswd». Проявления — прочие версии червя По 23-м числам ежемесячно червь активизирует процедуру, которая: добавляет к файлу C:MSDOS.SYS команду, блокирующую прерывание процесса загрузки компьютера записывает в файл C:AUTOEXEC.BAT команды форматирования жесткого диска (описанные выше действия проявляются только под Win9x). Затем червь выводит сообщение:
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Fintas

Technical Details

Fintas.a