Email-Worm.Win32.Manymize

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Интернет-червь, распространяется как вложение в заражённых сообщениях
электронной почты. Червь использует бреши защиты в Microsoft Internet
Explorer, Outlook и Windows Media Player для автоматического запуска при
просмотре заражённых писем.

Заражённые письма

Сообщения электронной почты, рассылаемые червём, имеют различные темы и
тексты, которые генерируются случайно из нескольких строк.

Адрес отправителя: настроенные в системе по умолчанию имя пользователя и
адрес электронной почты.

Возможные темы сообщений:

  • Hi (имя получателя письма)
  • Dear (имя получателя письма)
  • Hello (имя получателя письма)
  • My friend, (имя получателя письма)
  • How are you !! (имя получателя письма)

Текст сообщения «склеивается» из следующих строк:

  • Hi (имя получателя письма) , See this funny video.
  • Dear (имя получателя письма) , This is interesting movie.
  • Hello (имя получателя письма) + , Open the + cute + penguin.
  • My friend, (имя получателя письма) , Attached is my amusing clip.
  • How are you !! (имя получателя письма) , Watch my special tape.

Например,

Заражённые письма содержат следующие вложения:

  • mi2.chm, 11397 байт
  • mi2.exe, 73752 байт
  • mi2.htm, 539 байт
  • mi2.wmv, 19485 байт

Установка

Червь не устанавливает себя в заражённую систему и запускается только при
выполнении из заражённых писем.

Размножение

Червь получает адреса электронной почты из Адресной Книги Windows (WAB), и
отсылает по этим адресам заражённые сообщения. Для отсылки сообщений он
использует настроенный в системе по умолчанию SMTP сервер.

Другое

Червь отсылает письма-«уведомления» по нескольким случайно выбранным
адресам электронной почты домена «pchome.com.tw». Червь содержит список из
120 таких адресов. Тема отсылаемого сообщения содержит настроенный в
системе по умолчанию адрес электронной почты.