Email-Worm.Win32.Maldal

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Рассылает себя через IRC каналы. Производит деструктивные действия.

Червь является приложением Windows (PE EXE-файл), имеет размер около 80K, написан на Visual Basic 6.

Зараженные письма содержат:

Тема:
%Имя отправителя% + ” is a millionaire”
Имя вложения: LucKey.exe
Текст: ” Hi” + %Имя получателя% + “Your Friend ” + %Имя отправителя%
+ ” invites you to be a millionaire” + %Имя получателя% + “and says : “
+ %Имя получателя% + “Wow..its really cool Test your lock ;)”
+ %Имя получателя%
+ ” just keep this advertisements pro run and you will get 0.25 $ every 30 minutes”
+ %Имя получателя% + ” + ” Wo-finance Team”

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

Копирует себя в каталог WINDOWS под именем LUCKEY.EXE и в каталог WINDOWS SYSTEM с именем DALLAH.EXE. После чего червь выводит диалоговое окно Project1 с текстом:

Run time error ’71’
Object required
[ OK ]

Рассылка писем

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Рассылка через IRC каналы

Червь ищет в подкаталогах текущего диска файл MIRC.INI и перезаписывает его своим скриптом. Новый скрипт посылает свою копию (файл LUCKEY.EXE) всем пользователям, подключающимся к каналу.

Деструктивные действия

Червь создает в текущем каталоге диска множество своих копий с именами:

Sharoon ****.exe
Bush ****.exe
ZA-Union ****.exe
BinLadin ****.exe

Где **** – это число от 1 до 9999.
Червь пытается удалить каталоги на диске с установленной Windows:

Program FilesAntiViral Toolkit Pro
Program FilesCommand SoftwareF-PROT95
eSafeProtect
PC-Cillin 95
PC-Cillin 97
Program FilesQuick Heal
Program FilesFWIN32
Program FilesFindVirus
ToolkitFindVirus
f-macro
Program FilesMcAfeeVirusScan95
Program FilesNorton AntiVirus
TBAVW95
VS95
rescue
Program FilesZone Labs

Червь создает и запускает скрипт-файл FLOPY.VBS. Этот скрипт файл копирует червя на дискету под именем MALAL.EXE. Также для всех файлов вирус создает свои компаньон копии. Для этого файлы с червем получают такое же имя как
и файлы на дискете с дополнительным расширением “.EXE”.