Класс | Email-Worm |
Платформа | Win32 |
Описание |
PayloadЧервь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255. Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять. Removal instructionsДля удаления червя необходимо проделать следующие действия: 1. Удалить ключ реестра 2. В диспетчере задач завершить процесс brsh32.exe 3. Удалить файл червя %WinDir%brsh32.exe 4. Произвести полную проверку компьютера Антивирусом Касперского (скачать пробную версию).
Technical DetailsВирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Представляет собой Windows PE EXE-файл размером 14316 байт. ИнсталляцияЧервь создает свою копию в корневом каталоге Windows с именем brsh32.exe: %WinDir%brsh32.exe Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "brsh32Service"="%WinDir%brsh32.exe -q" При каждой следующей загрузке Windows автоматически запустит новый сервис. Червь совмещает в себе две процедуры:
На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Email SubjectПри составлении письма тема выбирается случайным образом из следующего списка:
Email ContentsТело письма постоянно и представляет собой следующий текст: Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com
AttachmentВ качестве вложения червь отправляет по сети свою копию: файл %windir%brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com. Имя файла случайным образом выбирается из следующего списка:
|