Email-Worm.Win32.Langex

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет
размер около 3K написан на ассемблере.

Червь активизируется только если пользователь сам запускает зараженные файл
(при двойном щелчке на вложении). Червь не инсталлирует себя в систему и не
запускается повторно (за исключением случаев, когда пользователь повторно
открывает зараженное вложение). Т.е. является червем «однократного» действия.

При старте червь рассылает зараженные сообщения. Для этого он использует
MAPI-функции Windows и «отвечает» на письма из почтового ящика.

Зараженные письма при этом содержат следующие поля:

Заголовок: «Re:» + заголовок письма, на которое идёт «ответ».

Тело письма начинается со следующего текста:

CLIENT NOTICE: the recipient viewed your message and this is the reply
message (original version of your message is shown after this text). Due to
the differences of text encoding method used by the recipient and the method
used on this system, the needed language pack is attached to this message. If
the the corrections will be applied, you will be able to read the reply message.

за которым следует «настоящий» текст письма.

Имя вложения:

LANG.EXE

После «ответа» червь уничтожает сообщение, на которое только что «ответил».

Червь содержит в себе строку-«копирайт»:

Simple MAPI demonstration : kahuna/TKT’