Email-Worm.Win32.Maldal

Дата обнаружения 11/01/2002
Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Рассылает себя через IRC каналы. Производит деструктивные действия.

Червь является приложением Windows (PE EXE-файл), имеет размер около 80K, написан на Visual Basic 6.

Зараженные письма содержат:

Тема:
%Имя отправителя% + » is a millionaire»
Имя вложения: LucKey.exe
Текст: » Hi» + %Имя получателя% + «Your Friend » + %Имя отправителя%
+ » invites you to be a millionaire» + %Имя получателя% + «and says : «
+ %Имя получателя% + «Wow..its really cool Test your lock ;)»
+ %Имя получателя%
+ » just keep this advertisements pro run and you will get 0.25 $ every 30 minutes»
+ %Имя получателя% + » + » Wo-finance Team»

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).


Инсталляция

Копирует себя в каталог WINDOWS под именем LUCKEY.EXE и в каталог WINDOWS SYSTEM с именем DALLAH.EXE. После чего червь выводит диалоговое окно Project1 с текстом:


Run time error ’71’
Object required
[ OK ]


Рассылка писем

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.


Рассылка через IRC каналы

Червь ищет в подкаталогах текущего диска файл MIRC.INI и перезаписывает его своим скриптом. Новый скрипт посылает свою копию (файл LUCKEY.EXE) всем пользователям, подключающимся к каналу.


Деструктивные действия

Червь создает в текущем каталоге диска множество своих копий с именами:


Sharoon ****.exe
Bush ****.exe
ZA-Union ****.exe
BinLadin ****.exe

Где **** — это число от 1 до 9999.
Червь пытается удалить каталоги на диске с установленной Windows:


Program FilesAntiViral Toolkit Pro
Program FilesCommand SoftwareF-PROT95
eSafeProtect
PC-Cillin 95
PC-Cillin 97
Program FilesQuick Heal
Program FilesFWIN32
Program FilesFindVirus
ToolkitFindVirus
f-macro
Program FilesMcAfeeVirusScan95
Program FilesNorton AntiVirus
TBAVW95
VS95
rescue
Program FilesZone Labs

Червь создает и запускает скрипт-файл FLOPY.VBS. Этот скрипт файл копирует червя на дискету под именем MALAL.EXE. Также для всех файлов вирус создает свои компаньон копии. Для этого файлы с червем получают такое же имя как
и файлы на дискете с дополнительным расширением «.EXE».