Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsWin32-червь, распространяется во вложениях в электронную почту. Состоит из двух компонент: Основная компонентаПри запуске (если пользователь, например, откроет ее из вложения в письмо) основная EXE-компонента копирует себя в каталог Windows и именем “PCpower.exe” и в системный каталог Windows с именем “MyLinong.exe”. Затем Затем эти файлы регистрируются в системном реестре:
Затем червь рассылает себя в электронной почте, файл-вложение может иметь 16 разных имен (см. ниже). При рассылке писем используется стандарт MAPI. Червь просматривает первые 50 писем в почтовом ящике и берет те из них, которые имеют вложенные файлы. Из этих писем червь считывает адреса электронной почты и отсылает на них письмо со своей копией, вложенной в письмо. Тема и текст письма, также как и имя вложенного файла случайно Имя файла:
Тема:
Текст письма:
ПроявленияЧервь создает каталоги с именами:
где %n является числом от 0 до 500 (в некоторых случаях червь создает меньшее количество каталогов) Червь выводит сообщения: 25 июня:
22 июля:
14 ноября:
VBS-скриптЯвляется модификацией вируса “I-Worm.Linong” и предназначен для совместной работы с EXE-компонентой червя. При запуске VBS-скрипт определяет IP адрес компьютера, на котором он запустился, затем сканирует подсеть: случайным образом модифицирует последнее число в IP адресе (например если адрес 10.10.10.1 то последняя 1 Если попытка подключения к компьютеру успешна, червь копирует файл c:windowslinong.vbs на подключенный сетевой диск по следующим путям:
В реализации этого алгоритма допущена ошибка в следствии которой червь не способен распространяться по локальной сети. В дальнейшем червь пытается рассылать свою EXE-компоненту с зараженных машин в письмах с:
однако этого не происходит по причине ошибки в коде вируса. Далее червь так же, как и червь “I-Worm.Linong”:
Червь далее создает HTA файл и запускает его, в результате на экран выводится текст, содержащийся в HTA: |
Узнай статистику распространения угроз в твоем регионе |