Email-Worm.Win32.Kiray

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, распространяющий свои копии через Интернет и поражающий компьютеры под управлением Windows. На компьютер попадает в виде письма со вложенным файлом Kiray.exe.

При запуске червь модифицирует системный реестр следующим образом:


HKCRexefileshellopencommand
«»=»c:windowstempKiray.exe»

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDesktop=1
NoDrives=1

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
NoNetSetup=1

Таким образом червь гарантирует собственный запуск при выполнении любого EXE-файла, а также прячет все значки с «Рабочего стола» Windows и некоторые диски в «Мой компьютер» после перезагрузки системы.

Затем червь, используя MAPI, рассылает свои копии в виде писем со вложенными файлами. Письма выглядят следующим образом:


Тема: Please make peace not war
Тело письма: The Lamers and Idiots Game
Файл: Kiray.exe

Он так же пытается зачем-то обратиться к адресной книге Windows (Windows Address Book), расположение которой он считывает из ключа системного реестра:


HKEY_CURRENT_USERSoftwareMicrosoftWAB

И в заключение червь пытается удалить все файлы в следующих каталогах:


c:windows*.*
c:windowssystem*.*
c:Program FilesMicrosoft Office*.*
c:Program FilesInternet Explorer*.*

Червь содержит несколько ошибок, которые сильно затрудняют ему существование. Так, распространение по e-mail возможно только в том случае, если почтовый клиент сохраняет временные файлы в каталоге C:WindowsTemp. Червь не может заразить компьютер, если операционная
система установлена в каталог, отличный от C:Windows.