Email-Worm.Win32.Galil

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам.
Состоит из нескольких компонент, все из них являются приложениями Windows (PE EXE-файлы),
написаны на Visual Basic.

Основной файл: “iLLeGaL.exe”, размер – около 81K.
Рассылка писем: “Mplayer.exe”, размер – около 14K (упакован UPX, распакованный файл – 37K)
SMTP-библиотека: “SMTP.ocx”, размер – около 26K (упакован UPX, распакованный файл – 90K)

Инсталляция

Основная компонента содержит в себе код двух остальных компонент и при запуске инсталлирует себя в систему, затем создаёт на диске копии двух других компонент.

Основная компонента червя копируется с именем “iLLegGaL.exe” в системный каталог Windows. В тот же каталог записываются и две другие компоненты: “Mplayer.exe” и “SMTP.ocx”. Файл “Mplayer.exe”
регистрируется в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
iLLeGaL = %SystemDir%Mplayer.exe

При этом червь показывает анимацию-обманку и выводит сообщение:

Рассылка писем

Червь ищет адреса-жертвы в адресной книге MS Outlook и в файлах с расширениями имени “.htm” и “.html”, обнаруженные адреса сохраняются в файле “Mmails.dll”.

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.

Зараженные письма содержат:

Заголовок: Fwd: Crazy illegal sex!
Текст: случайно выбирается из файлов на диске C:
Имя вложения: “iLLeGal.exe” или “illegalSex.zip”

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Проявления

Червь создаёт в системном реестре файл-счетчик, который увеличивается при каждом запуске червя:

HKLMiLLeGal

При достижении счетчиком значения “5” червь уничтожает все файлы на дисках D: E: F: G: и затем
выводит сообщение:

ZaCker
No Peace Without war,i hate war but im forced to love it, Hidden Power’s gonna b there wherever u r