Email-Worm.Win32.Ivalid

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 12K.

Червь активизируется только если пользователь сам запускает зараженные файл
(при двойном щелчке на вложении). При этом он ищет файлы *.HT* (HTML-файлы),
ищет в этих файлах ссылки на адреса электронной почты и затем рассылает
зараженные письма по этим адресам.

Зараженные письма содержат:

From: «Microsoft Support» [support@microsoft.com]
Заголовок: Invalid SSL Certificate
Имя вложения: SSLPATCH.EXE
Текст:

Hello,

Microsoft Corporation announced that an invalid SSL certificate that web
sites use is required to be installed on the user computer to use the https
protocol. During the installation, the certificate causes a buffer overrun in
Microsoft Internet Explorer and by that allows attackers to get access to
your computer. The SSL protocol is used by many companies that require credit
card or personal information so, there is a high possibility that you have
this certificate installed.

To avoid of being attacked by hackers, please download and install the
attached patch. It is strongly recommended to install it because almost all
users have this certificate installed without their knowledge.

Have a nice day,
Microsoft Corporation

После отсылки писем червь шифрует все EXE-файлы в текущем и родительских
каталогах. При шифровании используется Windows Crypto API.

Червь содержит «копирайт»-текст:

I-Worm.Invalid, Written By Dr.T/BCVG Network, 2001
The Black Cat Virii Group, 2001