Email-Worm.Win32.Galil

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам.
Состоит из нескольких компонент, все из них являются приложениями Windows (PE EXE-файлы),
написаны на Visual Basic.

Основной файл: «iLLeGaL.exe», размер — около 81K.
Рассылка писем: «Mplayer.exe», размер — около 14K (упакован UPX, распакованный файл — 37K)
SMTP-библиотека: «SMTP.ocx», размер — около 26K (упакован UPX, распакованный файл — 90K)

Инсталляция

Основная компонента содержит в себе код двух остальных компонент и при запуске инсталлирует себя в систему, затем создаёт на диске копии двух других компонент.

Основная компонента червя копируется с именем «iLLegGaL.exe» в системный каталог Windows. В тот же каталог записываются и две другие компоненты: «Mplayer.exe» и «SMTP.ocx». Файл «Mplayer.exe»
регистрируется в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
iLLeGaL = %SystemDir%Mplayer.exe

При этом червь показывает анимацию-обманку и выводит сообщение:

Рассылка писем

Червь ищет адреса-жертвы в адресной книге MS Outlook и в файлах с расширениями имени «.htm» и «.html», обнаруженные адреса сохраняются в файле «Mmails.dll».

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.

Зараженные письма содержат:

Заголовок: Fwd: Crazy illegal sex!
Текст: случайно выбирается из файлов на диске C:
Имя вложения: «iLLeGal.exe» или «illegalSex.zip»

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Проявления

Червь создаёт в системном реестре файл-счетчик, который увеличивается при каждом запуске червя:

HKLMiLLeGal

При достижении счетчиком значения «5» червь уничтожает все файлы на дисках D: E: F: G: и затем
выводит сообщение:

ZaCker
No Peace Without war,i hate war but im forced to love it, Hidden Power’s gonna b there wherever u r