Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 36K, написан на Visual Basic. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Инсталляция При запуске червь инсталлирует себя в систему. При этом он копирует себя:
Файл C:`.EXE затем регистрируется в ключах авто-запуска системного реестра:
и в файле SYSTEM.INI, в секции [boot], в инструкции «shell». Рассылка писем При рассылке зараженных писем червь использует функции и базу адресов MS Outlook. Тема, Текст и имя Вложения различны в известных версиях червя:
где %UserName% является именем пользователя зараженной машины. Fintas.aПосле рассылки писем этот вариант червя уничтожает файлы в каталоге Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys; затем файлы: C:IO.SYS, C:NETWORK.LOG. Затем выводит сообщение:
и создает и запускает два скрипт-файла: C:LEO.VBS — ищет и записывает строку «Hi! I am LEO» в файлы с расширениями: .html .htm .asp .php .dll .com .txt .doc .xls .exe C:PASSWD.VBS — ищет файлы с паролями (.PWL-файлы) и отсылает их на адрес «leotam888@china.com» с темой «mypasswd». Проявления — прочие версии червя По 23-м числам ежемесячно червь активизирует процедуру, которая:
(описанные выше действия проявляются только под Win9x). Затем червь выводит сообщение: |
Узнай статистику распространения угроз в твоем регионе |