Email-Worm.Win32.Gismor

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 8K написан на ассемблере.

Зараженные письма содержат следующие поля:

Mail From: Gismo@gmx.de
From: MP3 Deluxe
To: My best friends
Subject: Phenomenal
Body: body is empty
Attach: MP3Player.exe

Для того чтобы запуститься из зараженных писем, червь использует IFRAME-брешь
в системе безопасности почтового клиента. Затем червь инсталлирует себя в
систему и запускает процедуру своего распространения.

При инсталляции червь копирует себя с именем SSMS.EXE в системный каталог
Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun? RunServices?

При рассылке зараженных писем червь использует прямое подключение к
SMTP-серверу. Адреса «жертв» получает из писем в почтовом ящике, при этом
читает их при помощи функций Windows MAPI.